มัลแวร์ LOSTKEYS

COLDRIVER ซึ่งเป็นกลุ่มผู้ก่อภัยคุกคามที่เชื่อมโยงกับรัสเซีย ได้ขยายชุดเครื่องมือของตนให้กว้างขึ้น โดยขยายขอบเขตออกไปไกลกว่าแคมเปญฟิชชิ่งข้อมูลประจำตัวแบบเดิมๆ เมื่อไม่นานนี้ กลุ่มดังกล่าวถูกพบเห็นว่ากำลังใช้มัลแวร์สายพันธุ์ใหม่ที่เรียกว่า LOSTKEYS ในแคมเปญจารกรรมแบบกำหนดเป้าหมาย ซึ่งถือเป็นมัลแวร์แบบกำหนดเองตัวที่สองที่เชื่อมโยงกับ COLDRIVER ต่อจาก SPICA COLDRIVER ยังถูกติดตามภายใต้ชื่อเล่นอย่าง Callisto, Star Blizzard และ UNC4057 โดย COLDRIVER มีชื่อเสียงในด้านการขโมยข้อมูลประจำตัว การขโมยอีเมล และการเก็บเกี่ยวรายชื่อผู้ติดต่อ ปัจจุบัน แนวทางปฏิบัติของกลุ่มนี้รวมถึงการใช้มัลแวร์แบบเลือกเจาะเพื่อเข้าถึงไฟล์ระบบและข้อมูล

LOSTKEYS เปิดตัวแล้ว: ภัยคุกคามที่แอบซ่อนและมีเป้าหมาย

LOSTKEYS ได้รับการออกแบบมาเพื่อขโมยข้อมูลที่ละเอียดอ่อนอย่างลับๆ รวมถึงไฟล์จากไดเร็กทอรีเฉพาะ กระบวนการที่กำลังทำงาน และรายละเอียดระบบ โดย LOSTKEYS ได้ถูกนำไปใช้งานในเดือนมกราคม มีนาคม และเมษายน 2025 โดยมีเป้าหมาย ได้แก่ ที่ปรึกษาปัจจุบันและอดีตของรัฐบาลตะวันตกและกองทัพ นักข่าว สถาบันวิจัย องค์กรพัฒนาเอกชน และบุคคลที่เกี่ยวข้องกับยูเครน โดยเฉพาะอย่างยิ่ง มัลแวร์ดูเหมือนจะถูกนำไปใช้อย่างเลือกเฟ้น โดยเน้นไปที่การใช้ในการโจมตีแบบมีเป้าหมายชัดเจน

วิศวกรรมสังคม 2.0: การเชื่อมต่อ ClickFix

ห่วงโซ่การติดเชื้อเริ่มต้นด้วยคำเตือน CAPTCHA ปลอมที่โฮสต์บนเว็บไซต์หลอกลวง เหยื่อจะถูกหลอกให้เปิดกล่องโต้ตอบ Run ของ Windows และวางคำสั่ง PowerShell ที่คัดลอกไปยังคลิปบอร์ดของตนเอง ซึ่งเป็นวิธีที่เรียกว่า ClickFix คำสั่งนี้จะดึงตัวดาวน์โหลดขั้นที่สองจากเซิร์ฟเวอร์ระยะไกล จากนั้นจึงส่งสคริปต์ PowerShell ขั้นที่สาม สคริปต์นี้จะดำเนินการ LOSTKEYS บนโฮสต์ในขณะที่หลบเลี่ยงการตรวจจับในสภาพแวดล้อมเสมือนจริง

มัลแวร์ที่นำมาใช้ใหม่หรือการทดสอบในระยะเริ่มต้น?

นักวิจัยด้านความปลอดภัยค้นพบตัวอย่าง LOSTKEYS ที่ย้อนไปถึงเดือนธันวาคม 2023 ซึ่งเลียนแบบไฟล์ไบนารีจาก Maltego ซึ่งเป็นแพลตฟอร์มการสืบสวนแบบโอเพ่นซอร์ส ยังไม่ชัดเจนว่านี่เป็นเวอร์ชันทดสอบในช่วงแรกหรือการใช้งานที่ไม่เกี่ยวข้องของมัลแวร์ก่อนที่จะมีการยืนยันการใช้งานในปี 2025

การนำไปใช้อย่างแพร่หลายและการเข้าถึงที่เป็นอันตรายของ ClickFix

เทคนิค ClickFix ได้รับความนิยมในหมู่ผู้ก่อภัยคุกคามต่างๆ เพื่อแพร่กระจายมัลแวร์ ตัวอย่างที่น่าสนใจสองตัวอย่าง ได้แก่:

• Lampion Banking Trojan : ส่งผ่านอีเมลฟิชชิ่งพร้อมแนบไฟล์ ZIP ภายในไฟล์ HTML จะนำเหยื่อไปยังหน้า CAPTCHA ปลอมพร้อมคำแนะนำ ClickFix ทำให้เกิดการติดเชื้อหลายขั้นตอนโดยกำหนดเป้าหมายไปที่ภาคส่วนที่พูดภาษาโปรตุเกส เช่น รัฐบาล การเงิน และการขนส่ง

MacReaper: แคมเปญแพร่หลายที่มีการใช้ประโยชน์จากเว็บไซต์อย่างถูกกฎหมาย

การสืบสวนเพิ่มเติมได้เชื่อมโยงแคมเปญ Atomic Stealer กับการโจมตีแบบ Watering Bar ขนาดใหญ่ที่เรียกว่า MacReaper เว็บไซต์ที่ถูกกฎหมายเกือบ 2,800 แห่งถูกบุกรุกเพื่อแสดงข้อความ CAPTCHA ปลอม การโจมตีเหล่านี้ใช้ JavaScript ที่บดบัง, iframe แบบเต็มหน้าจอ และโครงสร้างพื้นฐานที่ใช้บล็อคเชนเพื่อหลีกเลี่ยงการตรวจจับและเพิ่มการติดไวรัสให้สูงสุด