Škodlivý softvér LOSTKEYS
Ruskom prepojená skupina škodcov známa ako COLDRIVER rozšírila svoju sadu nástrojov a prekročila rámec tradičných phishingových kampaní zameraných na získavanie údajov. Nedávno bola skupina videná pri nasadzovaní nového kmeňa malvéru s názvom LOSTKEYS v cielenej špionážnej kampani. Ide o druhý špecializovaný malvér spojený s COLDRIVER, po SPICA . COLDRIVER, sledovaný aj pod aliasmi ako Callisto, Star Blizzard a UNC4057, je neslávne známy krádežou údajov, exfiltráciou e-mailov a zberom údajov zo zoznamu kontaktov. Jeho stratégia teraz zahŕňa selektívne nasadzovanie malvéru na prístup k systémovým súborom a údajom.
Obsah
Odhalenie LOSTKEYS: Nenápadná a cielená hrozba
LOSTKEYS je navrhnutý tak, aby nenápadne získal citlivé informácie vrátane súborov z konkrétnych adresárov, spustených procesov a systémových podrobností. Bol nasadený v operáciách počas januára, marca a apríla 2025. Medzi ciele patria súčasní a bývalí poradcovia západných vlád a armád, novinári, think-tanky, mimovládne organizácie a jednotlivci spojení s Ukrajinou. Je pozoruhodné, že malvér sa zdá byť nasadený selektívne, s dôrazom na jeho použitie pri vysoko cielených útokoch.
Sociálne inžinierstvo 2.0: Spojenie ClickFix
Reťazec infekcie začína falošným výzvou CAPTCHA umiestneným na návnadovej webovej stránke. Obete sú oklamané, aby otvorili dialógové okno Spustiť systému Windows a vložili príkaz PowerShell skopírovaný do schránky – metóda známa ako ClickFix. Tento príkaz načíta zo vzdialeného servera sťahovací program druhej fázy, ktorý potom doručí skript PowerShell tretej fázy. Tento skript vykoná príkaz LOSTKEYS na hostiteľovi a zároveň sa vyhne detekcii vo virtuálnych prostrediach.
Zmenený malvér alebo skoré testovanie?
Bezpečnostní výskumníci objavili vzorky LOSTKEYS z decembra 2023, ktoré napodobňovali binárne súbory z Maltego, open-source vyšetrovacej platformy. Stále nie je jasné, či išlo o skoré testovacie verzie alebo nesúvisiace použitia malvéru pred jeho potvrdeným nasadením v roku 2025.
Širšie prijatie a škodlivý dosah ClickFixu
Technika ClickFix získava na popularite medzi rôznymi aktérmi šírenia malvéru. Medzi dva pozoruhodné príklady patria:
- Bankový trójsky kôň Lampion : Doručovaný prostredníctvom phishingových e-mailov s prílohami ZIP. Vnútri súboru HTML presmeruje obete na falošnú stránku CAPTCHA s pokynmi ClickFix, čím sa spustí viacstupňová infekcia zameraná na portugalsky hovoriace sektory, ako je vláda, financie a doprava.
- Atomic Stealer pre macOS : Spárované s taktikou s názvom EtherHiding, kde zmluvy Binance Smart Chain (BSC) skrývajú užitočné zaťaženie. Obete, ktoré kliknú na „Nie som robot“, nevedomky spustia príkaz Base64, ktorý sa potom spustí v termináli na stiahnutie a spustenie podpísaného binárneho súboru Mach-O potvrdeného ako Atomic Stealer.
MacReaper: Rozsiahla kampaň s legitímnym zneužívaním webových stránok
Ďalšie vyšetrovanie spojilo kampaň Atomic Stealer s rozsiahlym útokom typu watering hole s názvom MacReaper. Takmer 2 800 legitímnych webových stránok bolo napadnutých, aby zobrazovali falošné výzvy CAPTCHA. Tieto útoky využívali zahmlený JavaScript, celoobrazovkové prvky iframe a infraštruktúru založenú na blockchaine, aby sa vyhli odhaleniu a maximalizovali infekcie.
