Шкідливе програмне забезпечення LOSTKEYS
Пов'язаний з Росією зловмисник під назвою COLDRIVER розширив свій інструментарій, вийшовши за рамки традиційних фішингових кампаній з вилученням облікових даних. Нещодавно групу помітили, як вона розгортала новий штам шкідливого програмного забезпечення під назвою LOSTKEYS у цілеспрямованій шпигунській кампанії. Це вже друге спеціалізоване шкідливе програмне забезпечення, пов'язане з COLDRIVER, після SPICA . COLDRIVER, який також відстежується під псевдонімами, такими як Callisto, Star Blizzard та UNC4057, сумнозвісний за крадіжку облікових даних, вилучення електронної пошти та збір даних зі списку контактів. Тепер його сценарій включає вибіркове розгортання шкідливого програмного забезпечення для доступу до системних файлів і даних.
Зміст
Розкрито LOSTKEYS: прихована та цілеспрямована загроза
LOSTKEYS розроблено для прихованого вилучення конфіденційної інформації, включаючи файли з певних каталогів, запущені процеси та системні дані. Його було розгорнуто в операціях протягом січня, березня та квітня 2025 року. Серед цілей – чинні та колишні радники західних урядів та військових, журналісти, аналітичні центри, неурядові організації та особи, пов'язані з Україною. Примітно, що шкідливе програмне забезпечення, схоже, розгортається вибірково, з акцентом на його використанні у вузько цілеспрямованих атаках.
Соціальна інженерія 2.0: Зв'язок ClickFix
Ланцюг зараження починається з підробленого запиту CAPTCHA, розміщеного на веб-сайті-фальшивці. Жертв обманом змушують відкрити діалогове вікно «Виконати» Windows та вставити команду PowerShell, скопійовану в буфер обміну, — метод, відомий як ClickFix. Ця команда отримує завантажувач другого етапу з віддаленого сервера, який потім доставляє скрипт PowerShell третього етапу. Цей скрипт виконує LOSTKEYS на хості, уникаючи виявлення у віртуальних середовищах.
Перепрофільоване шкідливе програмне забезпечення чи раннє тестування?
Дослідники з безпеки виявили зразки LOSTKEYS, датовані груднем 2023 року, які імітували бінарні файли Maltego, платформи для розслідувань з відкритим кодом. Досі незрозуміло, чи це були ранні тестові версії, чи непов'язані з ними способи використання шкідливого програмного забезпечення до його підтвердженого розгортання у 2025 році.
Ширше впровадження ClickFix та шкідливий вплив
Метод ClickFix набирає популярності серед різних зловмисників для поширення шкідливого програмного забезпечення. Два яскравих приклади включають:
- Банківський троян Lampion : доставляється через фішингові електронні листи з ZIP-вкладеннями. Усередині HTML-файл перенаправляє жертв на підроблену сторінку CAPTCHA з інструкціями ClickFix, ініціюючи багатоетапне зараження, спрямоване на португаломовні сектори, такі як уряд, фінанси та транспорт.
MacReaper: Широкомасштабна кампанія з легітимним використанням вебсайтів
Подальше розслідування пов’язало кампанію Atomic Stealer із масштабною атакою типу «watering hole» під назвою MacReaper. Майже 2800 легітимних веб-сайтів було скомпрометовано для відображення підроблених запитів CAPTCHA. Ці атаки використовували обфускований JavaScript, повноекранні фрейми та інфраструктуру на основі блокчейну, щоб уникнути виявлення та максимізувати кількість заражень.
