Novi malver ruskih hakera LOSTKEYS je digitalna verzija špijuna
Opisi virusa, 09.05.2025, 10:00 AM

Google-ova obaveštajna grupa za pretnje (GTIG) identifikovala je novi malver pod nazivom LOSTKEYS, dizajniran za krađu fajlova i sistemskih podataka. Malver je korišćen u nizu sajber napada tokom januara, marta i aprila, koji se pripisuju COLDRIVER-u, grupi povezanoj sa ruskom vladom, poznatoj i pod imenima UNC4057, Star Blizzard i Callisto.
Ranije poznata prvenstveno po fišing napadima na zapadne diplomate, nevladine organizacije i zaposlene u obaveštajnim agencijama, grupa sada primenjuje naprednije alate kako bi direktno kompromitovala uređaje žrtava.
LOSTKEYS se isporučuje kroz složen, trostepeni proces infekcije.
„Nisam robot.“ Verovatno ste ovo videli hiljadu puta. U nekim slučajevima, umesto da potvrdite da ste čovek, možete pokrenuti lanac infekcije koji vodi direktno do ruskih obaveštajnih službi.
Upravo je to inicijalna taktika ruskih hakera. Napad počinje lažnim CAPTCHA testom na veb sajtu koji služi kao mamac, na koji meta napada stiže putem linka iz imejla koji je dobila od napadača. Kada potvrdi da je čovek, žrtva dobija instrukciju da nalepi i pokrene PowerShell skriptu u Windows Run. Sledi druga faza, osmišljena da izbegne virtuelne mašine proverom MD5 heša rezolucije ekrana. Treća faza preuzima i dekodira malver. Ova vrsta napada poznata je pod nazivom ClickFix.
Analiza GTIG-a pokazuje da napadači imaju prilagođeni pristup za svaku metu.
Kada inficira uređaj, LOSTKEYS pretražuje sistem, tražeći u određenim folderima fajlove sa određenim ekstenzijama kako bi brzo ukrao lozinke, imejlove i prikupio kontakte sa kompromitovanih naloga. Sve što prikupi od podataka malver šalje direktno nazad napadačima.
Malver je jednostavno „digitalna verzija špijuna koji se ušunjava mikro kamerom i fotografiše osetljive informacije.“
Istraživači su takođe otkrili starije verzije LOSTKEYS-a koje datiraju iz decembra 2023. godine. Ovi stariji uzorci su se maskirali kao fajlovi povezani sa softverom Maltego i koristili su drugačiji metod infekcije. GTIG se nije izjasnio da li je ove uzorke takođe koristila grupa COLDRIVER.
Napadi grupe COLDRIVER su veoma ciljani, fokusirani na pojedince sa pristupom osetljivim informacijama. Istraživači smatraju da se primena malvera poput LOSTKEYS dešava samo u posebnim slučajevima.
GTIG je pozvao korisnike koji su u riziku da se registruju u Google-ov program napredne zaštite (Advanced Protection Program) i omoguće Enhanced Safe Browsing u Chrome-u. GTIG je dodala sve veb sajtove i fajlove povezane sa LOSTKEYS-om u Safe Browsing i izdala direktna upozorenja pogođenim korisnicima Gmail-a i Workspace-a.
Foto: Sergiu Nista | Unsplash

Izdvojeno
Lažni PDF editori u Google oglasima kriju malver TamperedChef

Istraživači iz Truesec-a i G DATA otkrili su novu kampanju sajber kriminalaca koji koriste Google oglase da bi usmerili žrtve na lažne sajtove gde... Dalje
Lažni imejlovi instaliraju malver UpCrypter na Windows računarima

FortiGuard Labs, istraživački tim kompanije Fortinet, otkrio je novu globalnu kampanju koja preko phishing mejlova širi malver UpCrypter. Ovaj malv... Dalje
PromptLock: era AI ransomware-a je počela

Istraživači iz kompanije ESET otkrili su prvi AI ransomware, prototip nazvan PromptLock, koji koristi model Open AI za generisanje skripti koje cilj... Dalje
Posle Windowsa, ClickFix napadi i na Macu: malver Shamos krade lozinke i kripto novčanike

Iako se često misli da su Mac računari bezbedniji od Windowsa, nova kampanja koju je otkrio CrowdStrike pokazuje da su i macOS korisnici sve češć... Dalje
Lažna ChatGPT desktop aplikacija širi malver PipeMagic

Microsoft je upozorio da se lažna verzija ChatGPT desktop aplikacije koristi za isporuku opasnog backdoora nazvanog PipeMagic, povezanog sa napadima ... Dalje
Pratite nas
Nagrade