LOSTKEYS-skadlig programvara
Den Rysslandskopplade hotbildaren känd som COLDRIVER har utökat sin verktygslåda och går bortom traditionella nätfiskekampanjer för inloggningsuppgifter. Nyligen upptäcktes gruppen när de använde en ny skadlig kodstam som heter LOSTKEYS i en riktad spionkampanj. Detta markerar den andra anpassade skadliga koden som kopplats till COLDRIVER, efter SPICA . COLDRIVER spåras också under alias som Callisto, Star Blizzard och UNC4057, och är ökänt för stöld av inloggningsuppgifter, e-postutmätning och insamling av kontaktlistor. Nu inkluderar deras handbok selektiv distribution av skadlig kod för att komma åt systemfiler och data.
Innehållsförteckning
LOSTKEYS Avtäckt: Ett Smygande och Riktat Hot
LOSTKEYS är utformat för att i smyg stjäla känslig information, inklusive filer från specifika kataloger, pågående processer och systemdetaljer. Det har använts i verksamheter under januari, mars och april 2025. Målen inkluderar nuvarande och tidigare rådgivare till västerländska regeringar och militärer, journalister, tankesmedjor, icke-statliga organisationer och individer med koppling till Ukraina. Det är värt att notera att skadlig programvara verkar användas selektivt, med betoning på dess användning i mycket riktade attacker.
Social ingenjörskonst 2.0: ClickFix-kopplingen
Infektionskedjan börjar med en falsk CAPTCHA-prompt som finns på en webbplats med lockbete. Offren luras att öppna Windows Kör-dialogruta och klistra in ett PowerShell-kommando som kopierats till deras urklipp – en metod som kallas ClickFix. Detta kommando hämtar en nedladdare i andra steget från en fjärrserver, som sedan levererar ett PowerShell-skript i tredje steget. Detta skript kör LOSTKEYS på värden samtidigt som det undviker upptäckt i virtuella miljöer.
Återanvänd skadlig kod eller tidig testning?
Säkerhetsforskare upptäckte LOSTKEYS-exempel från december 2023 som härmade binärfiler från Maltego, en öppen källkodsplattform för utredning. Det är fortfarande oklart om dessa var tidiga testversioner eller orelaterade användningar av skadlig programvara innan dess bekräftade distribution 2025.
ClickFix bredare användning och skadliga räckvidd
ClickFix-tekniken blir alltmer populär bland olika hotaktörer för distribution av skadlig kod. Två anmärkningsvärda exempel är:
- Lampion Banking Trojan : Levereras via nätfiskemejl med ZIP-bilagor. Inuti omdirigerar en HTML-fil offren till en falsk CAPTCHA-sida med ClickFix-instruktioner, vilket initierar en flerstegsinfektion som riktar sig mot portugisisktalande sektorer som myndigheter, finans och transport.
- Atomic Stealer för macOS : Tillsammans med en taktik som kallas EtherHiding, där Binance Smart Chain (BSC)-kontrakt döljer nyttolaster. Offer som klickar på "Jag är inte en robot" utlöser omedvetet ett Base64-kommando, som sedan körs i Terminalen för att ladda ner och exekvera en signerad Mach-O-binärfil som bekräftats som Atomic Stealer.
MacReaper: En utbredd kampanj med legitim webbplatsexploatering
Ytterligare utredning har kopplat Atomic Stealer-kampanjen till en storskalig attack kallad MacReaper. Nästan 2 800 legitima webbplatser komprometterades och visade falska CAPTCHA-prompter. Dessa attacker använde förvrängd JavaScript, helskärms-iframes och blockkedjebaserad infrastruktur för att undvika upptäckt och maximera infektioner.
