Zlonamerna programska oprema LOSTKEYS
Z Rusijo povezani akter grožnje, znan kot COLDRIVER, je razširil svoj nabor orodij in presegel tradicionalne kampanje lažnega predstavljanja poverilnic. Pred kratkim so skupino opazili pri uporabi novega seva zlonamerne programske opreme, imenovanega LOSTKEYS, v ciljno usmerjeni vohunski kampanji. To je druga zlonamerna programska oprema po meri, povezana s COLDRIVERJEM, po SPICA . COLDRIVER, ki ga spremljajo tudi pod vzdevki, kot so Callisto, Star Blizzard in UNC4057, je znan po kraji poverilnic, izsiljevanju e-pošte in zbiranju podatkov s seznama stikov. Zdaj njegov priročnik vključuje selektivno uvajanje zlonamerne programske opreme za dostop do sistemskih datotek in podatkov.
Kazalo
Razkrit LOSTKEYS: Prikrita in ciljno usmerjena grožnja
LOSTKEYS je zasnovan za prikrito krajo občutljivih informacij, vključno z datotekami iz določenih imenikov, delujočimi procesi in podrobnostmi sistema. V operacijah je bil uporabljen v januarju, marcu in aprilu 2025. Med tarčami so sedanji in nekdanji svetovalci zahodnih vlad in vojsk, novinarji, možganski trusti, nevladne organizacije in posamezniki, povezani z Ukrajino. Omeniti velja, da se zdi, da se zlonamerna programska oprema uporablja selektivno, s poudarkom na njeni uporabi v zelo ciljno usmerjenih napadih.
Socialni inženiring 2.0: Povezava ClickFix
Veriga okužbe se začne s ponarejenim pozivom CAPTCHA, ki je gostovan na vabljivi spletni strani. Žrtve so prevarantno prepričane, da odprejo pogovorno okno Zaženi v sistemu Windows in prilepijo ukaz PowerShell, kopiran v odložišče – metoda, znana kot ClickFix. Ta ukaz pridobi program za prenos druge stopnje z oddaljenega strežnika, ki nato dostavi skript PowerShell tretje stopnje. Ta skript izvede LOSTKEYS na gostitelju, hkrati pa se izogne zaznavanju v virtualnih okoljih.
Prenamenjena zlonamerna programska oprema ali zgodnje testiranje?
Varnostni raziskovalci so odkrili vzorce LOSTKEYS iz decembra 2023, ki so posnemali binarne datoteke Maltego, platforme za raziskovanje odprte kode. Še vedno ni jasno, ali so bile to zgodnje testne različice ali nepovezane uporabe zlonamerne programske opreme pred njeno potrjeno uvedbo leta 2025.
Širša uporaba in škodljiv doseg ClickFixa
Tehnika ClickFix pridobiva na priljubljenosti med različnimi akterji groženj za distribucijo zlonamerne programske opreme. Dva omembe vredna primera sta:
- Lampion Bančni trojanec : Dostavlja se prek lažnih e-poštnih sporočil s prilogami ZIP. V njem datoteka HTML preusmeri žrtve na lažno stran CAPTCHA z navodili ClickFix, kar sproži večstopenjsko okužbo, ki cilja na portugalsko govoreče sektorje, kot so vlada, finance in promet.
- Atomic Stealer za macOS : V kombinaciji s taktiko EtherHiding, kjer pogodbe Binance Smart Chain (BSC) skrivajo koristne tovore. Žrtve, ki kliknejo »Nisem robot«, nevede sprožijo ukaz Base64, ki se nato zažene v terminalu za prenos in izvedbo podpisane binarne datoteke Mach-O, potrjene kot Atomic Stealer.
MacReaper: Razširjena kampanja z legitimnim izkoriščanjem spletnih strani
Nadaljnja preiskava je povezala kampanjo Atomic Stealer z obsežnim napadom vrste Watering Hole, imenovanim MacReaper. Skoraj 2800 legitimnih spletnih mest je bilo ogroženih, da bi prikazovala lažne pozive CAPTCHA. Ti napadi so uporabljali zakrit JavaScript, celozaslonske okvirje iframe in infrastrukturo, ki temelji na tehnologiji veriženja blokov, da bi se izognili odkrivanju in povečali število okužb.
