LOSTKEYS Malware
Aktori kërcënues i lidhur me Rusinë, i njohur si COLDRIVER, ka zgjeruar mjetet e tij, duke shkuar përtej fushatave tradicionale të phishing-ut me kredenciale. Kohët e fundit, grupi u vu re duke vendosur një lloj të ri malware të quajtur LOSTKEYS në një fushatë të synuar spiunazhi. Ky shënon malware-in e dytë të personalizuar të lidhur me COLDRIVER, pas SPICA-s . I gjurmuar gjithashtu nën pseudonime si Callisto, Star Blizzard dhe UNC4057, COLDRIVER është famëkeq për vjedhjen e kredencialeve, nxjerrjen e email-eve dhe mbledhjen e listës së kontakteve. Tani, manuali i tij përfshin vendosjen selektive të malware-it për të aksesuar skedarët dhe të dhënat e sistemit.
Tabela e Përmbajtjes
LOSTKEYS Zbulohet: Një Kërcënim i Fshehtë dhe i Synuar
LOSTKEYS është projektuar për të nxjerrë fshehurazi informacione të ndjeshme, duke përfshirë skedarë nga drejtori specifike, procese në ekzekutim dhe detaje të sistemit. Është vendosur në operacione gjatë janarit, marsit dhe prillit 2025. Shënjestrat përfshijnë këshilltarë aktualë dhe të mëparshëm të qeverive dhe ushtrive perëndimore, gazetarë, grupe ekspertësh, OJQ dhe individë të lidhur me Ukrainën. Veçanërisht, programi keqdashës duket se vendoset në mënyrë selektive, duke theksuar përdorimin e tij në sulme shumë të synuara.
Inxhinieri Sociale 2.0: Lidhja ClickFix
Zinxhiri i infeksionit fillon me një kërkesë të rreme CAPTCHA të vendosur në një faqe interneti mashtruese. Viktimat mashtrohen duke hapur kutinë e dialogut Windows Run dhe duke ngjitur një komandë PowerShell të kopjuar në kujtesën e tyre të përkohshme - një metodë e njohur si ClickFix. Kjo komandë merr një shkarkues të fazës së dytë nga një server i largët, i cili më pas dërgon një skript PowerShell të fazës së tretë. Ky skript ekzekuton LOSTKEYS në host ndërsa shmang zbulimin në mjedise virtuale.
Programe keqdashëse të ripërdorura apo testime të hershme?
Studiuesit e sigurisë zbuluan mostra LOSTKEYS që datojnë që nga dhjetori i vitit 2023, të cilat imitonin skedarë binare nga Maltego, një platformë hetimi me burim të hapur. Është ende e paqartë nëse këto ishin versione të hershme testimi apo përdorime të palidhura të malware-it para vendosjes së tij të konfirmuar në vitin 2025.
Përqafimi më i gjerë dhe shtrirja e dëmshme e ClickFix
Teknika ClickFix po fiton popullaritet midis aktorëve të ndryshëm kërcënues për shpërndarjen e programeve keqdashëse. Dy shembuj të shquar përfshijnë:
- Trojan Bankar Lampion : Shpërndahet nëpërmjet emaileve phishing me bashkëngjitje ZIP. Brenda, një skedar HTML i ridrejton viktimat në një faqe të rreme CAPTCHA me udhëzime ClickFix, duke filluar një infeksion shumëfazor që synon sektorët portugalishtfolës si qeveria, financat dhe transporti.
MacReaper: Një fushatë e përhapur me shfrytëzim legjitim të faqeve të internetit
Hetime të mëtejshme e kanë lidhur fushatën Atomic Stealer me një sulm në shkallë të gjerë të quajtur MacReaper. Gati 2,800 faqe interneti legjitime u kompromentuan për të shfaqur kërkesa të rreme CAPTCHA. Këto sulme përdorën JavaScript të turbullt, iframe me ekran të plotë dhe infrastrukturë të bazuar në blockchain për të shmangur zbulimin dhe për të maksimizuar infeksionet.
