LOSTKEYS Malware
Ang Russia-linked threat actor na kilala bilang COLDRIVER ay pinalawak ang toolkit nito, na lumampas sa tradisyonal na kredensyal na mga kampanya sa phishing. Kamakailan, nakita ang grupo na nagde-deploy ng bagong strain ng malware na tinatawag na LOSTKEYS sa isang target na espionage campaign. Minarkahan nito ang pangalawang custom na malware na naka-link sa COLDRIVER, kasunod ng SPICA . Sinusubaybayan din sa ilalim ng mga alias tulad ng Callisto, Star Blizzard , at UNC4057, ang COLDRIVER ay sikat sa pagnanakaw ng kredensyal, pag-exfiltrate ng email, at pag-aani ng listahan ng contact. Ngayon, ang playbook nito ay may kasamang selective malware deployment para ma-access ang mga system file at data.
Talaan ng mga Nilalaman
Inilabas ang LOSTKEYS: Isang Palihim at Naka-target na Banta
Ang LOSTKEYS ay idinisenyo upang palihim na i-exfiltrate ang sensitibong impormasyon, kabilang ang mga file mula sa mga partikular na direktoryo, tumatakbong mga proseso at mga detalye ng system. Na-deploy ito sa mga operasyon noong Enero, Marso at Abril 2025. Kabilang sa mga target ang kasalukuyan at dating tagapayo sa mga pamahalaan at militar ng Kanluran, mamamahayag, think tank, NGO at indibidwal na nauugnay sa Ukraine. Kapansin-pansin, ang malware ay tila pinipiling i-deploy, na binibigyang-diin ang paggamit nito sa mataas na naka-target na mga pag-atake.
Social Engineering 2.0: Ang ClickFix Connection
Ang chain ng impeksyon ay nagsisimula sa isang pekeng CAPTCHA prompt na naka-host sa isang decoy website. Nalinlang ang mga biktima sa pagbubukas ng dialog ng Windows Run at pag-paste ng PowerShell command na kinopya sa kanilang clipboard—isang paraan na kilala bilang ClickFix. Kinukuha ng command na ito ang pangalawang-stage na downloader mula sa isang malayuang server, na naghahatid ng ikatlong yugto ng PowerShell script. Ang script na ito ay nagpapatupad ng LOSTKEYS sa host habang umiiwas sa pagtuklas sa mga virtual na kapaligiran.
Repurposed Malware o Maagang Pagsusuri?
Natuklasan ng mga mananaliksik sa seguridad ang mga sample ng LOSTKEYS na itinayo noong Disyembre 2023 na ginagaya ang mga binary mula sa Maltego, isang open-source na platform ng pagsisiyasat. Hindi pa rin malinaw kung ito ay mga maagang bersyon ng pagsubok o hindi nauugnay na paggamit ng malware bago ang kumpirmadong pag-deploy nito noong 2025.
Ang Mas Malawak na Pag-ampon at Masakit na Abot ng ClickFix
Ang pamamaraan ng ClickFix ay nakakakuha ng katanyagan sa iba't ibang mga aktor ng pagbabanta para sa pamamahagi ng malware. Kasama sa dalawang kilalang halimbawa ang:
- Lampion Banking Trojan : Naihatid sa pamamagitan ng mga email sa phishing na may mga ZIP attachment. Sa loob, ang isang HTML file ay nagre-redirect ng mga biktima sa isang pekeng pahina ng CAPTCHA na may mga tagubilin sa ClickFix, na nagpapasimula ng isang multi-stage na impeksiyon na nagta-target sa mga sektor na nagsasalita ng Portuges gaya ng pamahalaan, pananalapi, at transportasyon.
MacReaper: Isang Laganap na Kampanya na may Lehitimong Pagsasamantala sa Website
Ang karagdagang pagsisiyasat ay nag-ugnay sa kampanya ng Atomic Stealer sa isang malakihang pag-atake ng watering hole na tinatawag na MacReaper. Halos 2,800 lehitimong website ang nakompromiso upang magpakita ng mga pekeng CAPTCHA prompt. Gumamit ang mga pag-atakeng ito ng na-obfuscated na JavaScript, mga full-screen na iframe at imprastraktura na nakabatay sa blockchain upang maiwasan ang pagtuklas at i-maximize ang mga impeksyon.
