Programe malware LOSTKEYS
Actorul de amenințare cu legături cu Rusia, cunoscut sub numele de COLDRIVER, și-a extins setul de instrumente, depășind campaniile tradiționale de phishing prin transmiterea de acreditări. Recent, grupul a fost observat implementând o nouă tulpină de malware numită LOSTKEYS într-o campanie de spionaj țintită. Acesta marchează al doilea malware personalizat legat de COLDRIVER, după SPICA . Urmărit și sub aliasuri precum Callisto, Star Blizzard și UNC4057, COLDRIVER este renumit pentru furtul de acreditări, exfiltrarea de e-mailuri și colectarea de date din listele de contacte. Acum, strategia sa include implementarea selectivă de malware pentru a accesa fișierele și datele de sistem.
Cuprins
LOSTKEYS dezvăluit: o amenințare discretă și țintită
LOSTKEYS este conceput pentru a exfiltra pe ascuns informații sensibile, inclusiv fișiere din directoare specifice, procese care rulează și detalii de sistem. A fost implementat în operațiuni în lunile ianuarie, martie și aprilie 2025. Printre ținte se numără consilieri actuali și foști ai guvernelor și armatei occidentale, jurnaliști, grupuri de experți, ONG-uri și persoane asociate cu Ucraina. În special, malware-ul pare a fi implementat selectiv, accentuându-se utilizarea sa în atacuri extrem de direcționate.
Inginerie socială 2.0: Conexiunea ClickFix
Lanțul de infectare începe cu o solicitare CAPTCHA falsă găzduită pe un site web capcană. Victimele sunt păcălite să deschidă caseta de dialog Executare Windows și să lipească o comandă PowerShell copiată în clipboard - o metodă cunoscută sub numele de ClickFix. Această comandă preia un program de descărcare de nivel doi de pe un server la distanță, care apoi livrează un script PowerShell de nivel trei. Acest script execută LOSTKEYS pe gazdă, evitând în același timp detectarea în mediile virtuale.
Malware reutilizat sau testare timpurie?
Cercetătorii în domeniul securității au descoperit mostre LOSTKEYS datând din decembrie 2023 care imitau fișiere binare de la Maltego, o platformă de investigații open-source. Încă nu este clar dacă acestea au fost versiuni de testare timpurii sau utilizări independente ale malware-ului înainte de implementarea sa confirmată în 2025.
Adoptarea mai largă și acoperirea dăunătoare a ClickFix
Tehnica ClickFix câștigă popularitate printre diverși actori amenințători pentru distribuirea de programe malware. Două exemple notabile includ:
- Trojan bancar Lampion : Se transmite prin e-mailuri de tip phishing cu atașamente ZIP. În interior, un fișier HTML redirecționează victimele către o pagină CAPTCHA falsă cu instrucțiuni ClickFix, inițiind o infecție în mai multe etape care vizează sectoarele vorbitoare de limbă portugheză, cum ar fi guvernul, finanțele și transporturile.
- Atomic Stealer pentru macOS : Împreună cu o tactică numită EtherHiding, în care Binance Smart Chain (BSC) contractează ascunderea sarcinilor utile. Victimele care dau clic pe „Nu sunt un robot” declanșează fără să știe o comandă Base64, care este apoi rulată în Terminal pentru a descărca și executa un fișier binar Mach-O semnat și confirmat ca Atomic Stealer.
MacReaper: O campanie răspândită cu exploatare legitimă a site-urilor web
Investigații ulterioare au asociat campania Atomic Stealer cu un atac la scară largă, numit MacReaper, care a vizat diverse site-uri web legitime. Aproape 2.800 de site-uri web legitime au fost compromise pentru a afișa solicitări CAPTCHA false. Aceste atacuri au folosit JavaScript ofuscat, iframe-uri pe ecran complet și infrastructură bazată pe blockchain pentru a evita detectarea și a maximiza infecțiile.
