LOSTKEYS恶意软件
与俄罗斯有关联的威胁行为者 COLDRIVER 已扩展其工具包,不再局限于传统的凭证钓鱼活动。最近,该组织被发现在一次有针对性的间谍活动中部署了一种名为 LOSTKEYS 的新型恶意软件。这是继SPICA之后,第二个与 COLDRIVER 相关的自定义恶意软件。COLDRIVER 还使用过 Callisto、 Star Blizzard和 UNC4057 等别名,因凭证盗窃、电子邮件泄露和联系人列表收集而臭名昭著。现在,其攻击手段包括选择性部署恶意软件来访问系统文件和数据。
目录
LOSTKEYS 揭秘:一种隐秘且有针对性的威胁
LOSTKEYS 旨在秘密窃取敏感信息,包括特定目录中的文件、正在运行的进程和系统详细信息。该恶意软件已于 2025 年 1 月、3 月和 4 月部署。目标包括西方政府和军队的现任和前任顾问、记者、智库、非政府组织以及与乌克兰相关的个人。值得注意的是,该恶意软件似乎具有选择性部署,尤其侧重于其在高度针对性的攻击中的使用。
社会工程学 2.0:ClickFix 连接
感染链始于一个托管在诱饵网站上的伪造验证码提示。受害者被诱骗打开 Windows 的“运行”对话框,并将复制到剪贴板的 PowerShell 命令粘贴进去——这种方法被称为 ClickFix。该命令会从远程服务器获取第二阶段的下载程序,然后传递第三阶段的 PowerShell 脚本。该脚本会在主机上执行 LOSTKEYS,同时在虚拟环境中规避检测。
重新利用的恶意软件还是早期测试?
安全研究人员发现了可追溯至 2023 年 12 月的 LOSTKEYS 样本,这些样本模仿了开源调查平台 Maltego 的二进制文件。目前尚不清楚这些是早期测试版本,还是在 2025 年确认部署之前对该恶意软件的无关用途。
ClickFix 的广泛采用和有害影响
ClickFix 技术在各类威胁行为者中越来越受欢迎,用于恶意软件传播。以下是两个值得注意的例子:
- Lampion银行木马:通过带有 ZIP 附件的网络钓鱼邮件传播。木马内部包含一个 HTML 文件,它会将受害者重定向到一个带有 ClickFix 指令的虚假验证码页面,从而引发针对葡萄牙语国家(例如政府、金融和交通运输)的多阶段感染。
MacReaper:利用合法网站漏洞进行广泛传播的恶意活动
进一步调查显示,Atomic Stealer 活动与代号为 MacReaper 的大规模水坑攻击有关。近 2,800 个合法网站遭到入侵,并显示伪造的验证码提示。这些攻击使用了混淆的 JavaScript、全屏 iframe 和基于区块链的基础设施来逃避检测,并最大限度地扩大感染范围。
