Phần mềm độc hại LOSTKEYS

Nhóm đe dọa có liên hệ với Nga được gọi là COLDRIVER đã mở rộng bộ công cụ của mình, vượt ra ngoài các chiến dịch lừa đảo thông tin xác thực truyền thống. Gần đây, nhóm này đã bị phát hiện triển khai một chủng phần mềm độc hại mới có tên là LOSTKEYS trong một chiến dịch gián điệp có mục tiêu. Đây là phần mềm độc hại tùy chỉnh thứ hai có liên quan đến COLDRIVER, sau SPICA . Cũng được theo dõi dưới các bí danh như Callisto, Star Blizzard và UNC4057, COLDRIVER khét tiếng vì hành vi trộm cắp thông tin xác thực, đánh cắp email và thu thập danh sách liên lạc. Bây giờ, sổ tay hướng dẫn của nhóm này bao gồm triển khai phần mềm độc hại có chọn lọc để truy cập vào các tệp và dữ liệu hệ thống.

LOSTKEYS được tiết lộ: Một mối đe dọa ẩn núp và có mục tiêu

LOSTKEYS được thiết kế để lén lút đánh cắp thông tin nhạy cảm, bao gồm các tệp từ các thư mục cụ thể, các quy trình đang chạy và thông tin chi tiết về hệ thống. Nó đã được triển khai trong các hoạt động trong tháng 1, tháng 3 và tháng 4 năm 2025. Các mục tiêu bao gồm các cố vấn hiện tại và trước đây cho các chính phủ và quân đội phương Tây, các nhà báo, nhóm nghiên cứu, tổ chức phi chính phủ và các cá nhân có liên quan đến Ukraine. Đáng chú ý, phần mềm độc hại này dường như được triển khai một cách có chọn lọc, nhấn mạnh vào việc sử dụng nó trong các cuộc tấn công có mục tiêu cao.

Kỹ thuật xã hội 2.0: Kết nối ClickFix

Chuỗi lây nhiễm bắt đầu bằng một lời nhắc CAPTCHA giả được lưu trữ trên một trang web giả mạo. Nạn nhân bị lừa mở hộp thoại Windows Run và dán lệnh PowerShell đã sao chép vào bảng tạm của họ—một phương pháp được gọi là ClickFix. Lệnh này sẽ tải xuống trình tải xuống giai đoạn thứ hai từ máy chủ từ xa, sau đó cung cấp một tập lệnh PowerShell giai đoạn thứ ba. Tập lệnh này thực thi LOSTKEYS trên máy chủ trong khi tránh bị phát hiện trong môi trường ảo.

Phần mềm độc hại được sử dụng lại hay thử nghiệm sớm?

Các nhà nghiên cứu bảo mật đã phát hiện ra các mẫu LOSTKEYS có từ tháng 12 năm 2023 bắt chước các tệp nhị phân từ Maltego, một nền tảng điều tra nguồn mở. Vẫn chưa rõ liệu đây có phải là phiên bản thử nghiệm ban đầu hay là các lần sử dụng phần mềm độc hại không liên quan trước khi triển khai được xác nhận vào năm 2025 hay không.

Sự áp dụng rộng rãi hơn và phạm vi gây tổn hại của ClickFix

Kỹ thuật ClickFix đang ngày càng phổ biến trong số nhiều tác nhân đe dọa để phân phối phần mềm độc hại. Hai ví dụ đáng chú ý bao gồm:

• Trojan ngân hàng Lampion : Được gửi qua email lừa đảo có tệp đính kèm ZIP. Bên trong, một tệp HTML chuyển hướng nạn nhân đến một trang CAPTCHA giả mạo có hướng dẫn ClickFix, khởi tạo một đợt lây nhiễm nhiều giai đoạn nhắm vào các lĩnh vực nói tiếng Bồ Đào Nha như chính phủ, tài chính và giao thông vận tải.
• Atomic Stealer cho macOS : Kết hợp với một chiến thuật gọi là EtherHiding, trong đó các hợp đồng Binance Smart Chain (BSC) ẩn các tải trọng. Các nạn nhân nhấp vào 'Tôi không phải là robot' vô tình kích hoạt lệnh Base64, sau đó chạy trong Terminal để tải xuống và thực thi tệp nhị phân Mach-O đã ký được xác nhận là Atomic Stealer.

MacReaper: Một chiến dịch lan rộng với việc khai thác trang web hợp pháp

Cuộc điều tra sâu hơn đã liên kết chiến dịch Atomic Stealer với một cuộc tấn công watering hole quy mô lớn có tên là MacReaper. Gần 2.800 trang web hợp pháp đã bị xâm phạm để hiển thị lời nhắc CAPTCHA giả mạo. Các cuộc tấn công này sử dụng JavaScript bị che giấu, iframe toàn màn hình và cơ sở hạ tầng dựa trên blockchain để tránh bị phát hiện và tối đa hóa khả năng lây nhiễm.