LOSTKEYS Злонамерни софтвер
Претећа група повезана са Русијом, позната као COLDRIVER, проширила је свој скуп алата, превазилазећи традиционалне кампање фишинга акредитива. Недавно је група примећена како користи нови сој малвера под називом LOSTKEYS у циљаној шпијунској кампањи. Ово је други прилагођени малвер повезан са COLDRIVER-ом, након SPICA-е . Такође праћен под алијасима као што су Callisto, Star Blizzard и UNC4057, COLDRIVER је познат по крађи акредитива, ексфилтрацији имејлова и прикупљању података са листе контаката. Сада, његов програм укључује селективно распоређивање малвера за приступ системским датотекама и подацима.
Преглед садржаја
Откривен LOSTKEYS: Прикривена и циљана претња
LOSTKEYS је дизајниран да прикривено краде осетљиве информације, укључујући датотеке из одређених директоријума, покренуте процесе и системске детаље. Коришћен је у операцијама током јануара, марта и априла 2025. Мете укључују садашње и бивше саветнике западних влада и војски, новинаре, истраживачке центре, невладине организације и појединце повезане са Украјином. Приметно је да се малвер чини да се користи селективно, са нагласком на његовој употреби у високо циљаним нападима.
Социјални инжењеринг 2.0: ClickFix веза
Ланац инфекције почиње лажним CAPTCHA упитом који се налази на веб локацији мамца. Жртве су преварене да отворе дијалог „Покрени“ у систему Windows и налепе PowerShell команду копирану у међуспремник – метод познат као ClickFix. Ова команда преузима програм за преузимање друге фазе са удаљеног сервера, који затим испоручује PowerShell скрипту треће фазе. Ова скрипта извршава LOSTKEYS на хосту, избегавајући откривање у виртуелним окружењима.
Пренамењени злонамерни софтвер или рано тестирање?
Истраживачи безбедности открили су узорке LOSTKEYS-а из децембра 2023. године који су имитирали бинарне датотеке са Maltego-а, платформе за истраживање отвореног кода. Још увек није јасно да ли су то биле ране тест верзије или неповезане употребе злонамерног софтвера пре његовог потврђеног распоређивања 2025. године.
Шире усвајање и штетан досег ClickFix-а
Техника ClickFix добија на популарности међу разним актерима претњи за дистрибуцију злонамерног софтвера. Два значајна примера укључују:
- Лампион банкарски тројанац : Испоручује се путем фишинг имејлова са ZIP прилозима. Унутра, HTML датотека преусмерава жртве на лажну CAPTCHA страницу са ClickFix упутствима, покрећући вишестепену инфекцију усмерену на секторе који говоре португалски, као што су влада, финансије и транспорт.
- Атомски крадљивац за macOS : Упарен са тактиком под називом EtherHiding, где уговори Binance Smart Chain (BSC) скривају корисне терете. Жртве које кликну на „Ја нисам робот“ несвесно покрећу Base64 команду, која се затим покреће у терминалу да би преузела и извршила потписани Mach-O бинарни фајл потврђен као Атомски крадљивац.
MacReaper: Распрострањена кампања са легитимним искоришћавањем веб локација
Даља истрага је повезала кампању „Atomic Stealer“ са великим нападом „watering hole“ названим „MacReaper“. Скоро 2.800 легитимних веб локација је компромитовано како би приказивале лажне CAPTCHA упите. Ови напади су користили замагљени JavaScript, iframe-ове преко целог екрана и инфраструктуру засновану на блокчејну како би избегли откривање и максимизирали инфекције.
