Вредоносное ПО LOSTKEYS
Связанный с Россией злоумышленник, известный как COLDRIVER, расширил свой инструментарий, выйдя за рамки традиционных кампаний по фишингу учетных данных. Недавно группа была замечена за развертыванием нового штамма вредоносного ПО под названием LOSTKEYS в целевой шпионской кампании. Это уже второе вредоносное ПО, связанное с COLDRIVER, после SPICA . Также отслеживаемый под такими псевдонимами, как Callisto, Star Blizzard и UNC4057, COLDRIVER печально известен кражей учетных данных, эксфильтрацией электронной почты и сбором списков контактов. Теперь его план действий включает выборочное развертывание вредоносного ПО для доступа к системным файлам и данным.
Оглавление
Раскрыт LOSTKEYS: скрытая и целенаправленная угроза
LOSTKEYS предназначен для скрытного извлечения конфиденциальной информации, включая файлы из определенных каталогов, запущенные процессы и системные данные. Он был развернут в операциях в январе, марте и апреле 2025 года. Целями являются нынешние и бывшие советники западных правительств и военных, журналисты, аналитические центры, НПО и лица, связанные с Украиной. Примечательно, что вредоносное ПО, по-видимому, развертывается выборочно, что подчеркивает его использование в узконаправленных атаках.
Социальная инженерия 2.0: соединение ClickFix
Цепочка заражения начинается с поддельного запроса CAPTCHA, размещенного на обманном сайте. Жертвы обманом открывают диалоговое окно Windows Run и вставляют скопированную в буфер обмена команду PowerShell — метод, известный как ClickFix. Эта команда извлекает загрузчик второго этапа с удаленного сервера, который затем доставляет сценарий PowerShell третьего этапа. Этот сценарий выполняет LOSTKEYS на хосте, избегая обнаружения в виртуальных средах.
Перепрофилированное вредоносное ПО или раннее тестирование?
Исследователи безопасности обнаружили образцы LOSTKEYS, датированные декабрем 2023 года, которые имитировали двоичные файлы из Maltego, платформы для расследования с открытым исходным кодом. Пока неясно, были ли это ранние тестовые версии или не связанные между собой варианты использования вредоносного ПО до его подтвержденного развертывания в 2025 году.
Более широкое внедрение ClickFix и вредоносный охват
Техника ClickFix набирает популярность среди различных субъектов угроз для распространения вредоносного ПО. Два примечательных примера включают:
- Банковский троян Lampion : доставляется через фишинговые письма с вложениями ZIP. Внутри находится HTML-файл, который перенаправляет жертв на поддельную страницу CAPTCHA с инструкциями ClickFix, инициируя многоэтапное заражение, нацеленное на португалоязычные секторы, такие как правительство, финансы и транспорт.
- Atomic Stealer для macOS : в паре с тактикой EtherHiding, где контракты Binance Smart Chain (BSC) скрывают полезные нагрузки. Жертвы, которые нажимают «Я не робот», неосознанно запускают команду Base64, которая затем запускается в Терминале для загрузки и выполнения подписанного двоичного файла Mach-O, подтвержденного как Atomic Stealer.
MacReaper: широкомасштабная кампания с использованием законного веб-сайта
Дальнейшее расследование связало кампанию Atomic Stealer с крупномасштабной атакой watering hole, получившей название MacReaper. Почти 2800 легитимных веб-сайтов были скомпрометированы для отображения поддельных запросов CAPTCHA. Эти атаки использовали запутанный JavaScript, полноэкранные iframes и инфраструктуру на основе блокчейна для обхода обнаружения и максимизации заражений.
