Οι Ρώσοι hackers COLDRIVER διανέμουν ένα νέο κακόβουλο λογισμικό με την ονομασία LOSTKEYS, στο πλαίσιο μιας κατασκοπευτικής εκστρατείας που βασίζεται σε τεχνικές ClickFix-like social engineering.
Σύμφωνα με τη Google Threat Intelligence Group (GTIG), το LOSTKEYS έχει τη δυνατότητα να κλέβει αρχεία καθώς και να αποστέλλει πληροφορίες για το σύστημα του θύματος και να εκτελεί εντολές εκ μέρους του εισβολέα.
Δείτε επίσης: Ο MintsLoader διανέμει το GhostWeaver μέσω Phishing, ClickFix
Το κακόβουλο λογισμικό καταγράφηκε σε επιθέσεις που πραγματοποιήθηκαν τον Ιανουάριο, Μάρτιο και Απρίλιο του 2025, στοχεύοντας ενεργούς και πρώην συμβούλους κυβερνήσεων της Δύσης, μέλη των ενόπλων δυνάμεων, δημοσιογράφους, ερευνητικά ινστιτούτα και μη κυβερνητικές οργανώσεις. Επιπλέον, στο στόχαστρο βρέθηκαν και άτομα με δεσμούς με την Ουκρανία.
Το LOSTKEYS είναι το δεύτερο custom malware που αποδίδεται στην ομάδα COLDRIVER, μετά το λογισμικό SPICA. Η εν λόγω ομάδα είναι επίσης γνωστή με τις ονομασίες Callisto, Star Blizzard και UNC4057.
Όπως εξηγεί ο ερευνητής ασφαλείας Wesley Shields, η COLDRIVER έχει συνδεθεί με επιθέσεις που στοχεύουν στην υποκλοπή credentials, μέσω των οποίων αποκτά πρόσβαση σε λογαριασμούς email. Από εκεί, η ομάδα αντλεί λίστες επαφών και σε ορισμένες περιπτώσεις προωθεί κακόβουλο λογισμικό στις συσκευές των θυμάτων, με στόχο την περαιτέρω διείσδυση και πρόσβαση σε αρχεία.
Δείτε επίσης: Η ομάδα χάκερ Lazarus υιοθετεί επιθέσεις ClickFix
ClickFix-like social engineering για διανομή του LOSTKEYS
Η πιο πρόσφατη σειρά επιθέσεων ξεκινά με έναν κακόβουλο ιστότοπο-δόλωμα που εμφανίζει ένα παραπλανητικό μήνυμα CAPTCHA. Οι επισκέπτες του ιστότοπου παρακινούνται να ανοίξουν το παράθυρο Windows Run και να επικολλήσουν μια εντολή PowerShell, η οποία έχει ήδη αντιγραφεί αυτόματα στο πρόχειρό τους. Αυτή η μέθοδος social engineering είναι γνωστή ως ClickFix και έχει γίνει ιδιαίτερα δημοφιλής μεταξύ κυβερνοεγκληματιών.
Η συγκεκριμένη εντολή PowerShell προγραμματίζεται ώστε να κατεβάσει και να εκτελέσει επιπλέον κακόβουλο περιεχόμενο από έναν απομακρυσμένο διακομιστή (διεύθυνση IP: “165.227.148[.]68”). Πριν το κάνει, όμως, ελέγχει αν τρέχει σε περιβάλλον εικονικής μηχανής, πιθανώς για να αποφύγει την ανίχνευση από συστήματα ανάλυσης malware.
Δείτε επίσης: Ψεύτικο Discord PyPI Package περιέχει malware
Το τρίτο στάδιο της επίθεσης περιλαμβάνει ένα Base64-encoded blob, το οποίο αποκωδικοποιείται σε ένα νέο PowerShell script. Αυτό με τη σειρά του ενεργοποιεί το κακόβουλο λογισμικό LOSTKEYS στον μολυσμένο υπολογιστή. Το LOSTKEYS συλλέγει δεδομένα συστήματος, ενεργές διεργασίες και αρχεία με συγκεκριμένες καταλήξεις και από προκαθορισμένους φακέλους.
Όπως συνέβη και με το κακόβουλο λογισμικό SPICA, το LOSTKEYS φαίνεται να χρησιμοποιείται με φειδώ, γεγονός που υποδηλώνει ότι οι επιθέσεις αυτές είναι στοχευμένες και όχι μαζικές.
Η Google σημείωσε επίσης ότι βρέθηκαν και άλλες εκδοχές του LOSTKEYS που χρονολογούνται από τον Δεκέμβριο του 2023. Αυτές οι παραλλαγές ήταν μεταμφιεσμένες ως νόμιμα εκτελέσιμα αρχεία που σχετίζονται με το εργαλείο ανοιχτού κώδικα Maltego. Ωστόσο, παραμένει ασαφές αν αυτά τα δείγματα συνδέονται άμεσα με την ομάδα COLDRIVER ή αν το κακόβουλο λογισμικό χρησιμοποιήθηκε και από άλλους επιτιθέμενους από τον Ιανουάριο του 2025 και μετά.
Προστασία από ClickFix επιθέσεις και malware
- Εκπαίδευση χρηστών σχετικά με τις τακτικές social engineering και τις επιθέσεις phishing
- Εγκατάσταση (και ενημέρωση) λογισμικού προστασίας από ιούς και κακόβουλο λογισμικό σε όλα τα τελικά σημεία
- Εφαρμογή ισχυρών email filters για αποκλεισμό phishing emails και κακόβουλων συνημμένων
- Χρήση firewalls και συστημάτων ανίχνευσης/πρόληψης εισβολών (IDS/IPS)
- Τμηματοποίηση δικτύου για περιορισμό εξάπλωσης του κακόβουλου λογισμικού
- Εφαρμογή της αρχής του ελάχιστου προνομίου (PoLP), για πρόσβαση των χρηστών μόνο στους απαραίτητους πόρους
- Εφαρμογή ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA)
- Ενημέρωση λειτουργικών συστημάτων, λογισμικού και εφαρμογών
- Κρυπτογράφηση ευαίσθητων δεδομένων
- Συνεχής παρακολούθηση και ανάλυση αρχείων καταγραφής του συστήματος και του δικτύου
- Δημιουργία αντιγράφων ασφαλείας σημαντικών δεδομένων
Πηγή: thehackernews.com
