Pratite nas preko RSS-aNovi malver ruskih hakera LOSTKEYS je digitalna verzija špijuna
Opisi virusa, 09.05.2025, 10:00 AM
Google-ova obaveštajna grupa za pretnje (GTIG) identifikovala je novi malver pod nazivom LOSTKEYS, dizajniran za krađu fajlova i sistemskih podataka. Malver je korišćen u nizu sajber napada tokom januara, marta i aprila, koji se pripisuju COLDRIVER-u, grupi povezanoj sa ruskom vladom, poznatoj i pod imenima UNC4057, Star Blizzard i Callisto.
Ranije poznata prvenstveno po fišing napadima na zapadne diplomate, nevladine organizacije i zaposlene u obaveštajnim agencijama, grupa sada primenjuje naprednije alate kako bi direktno kompromitovala uređaje žrtava.
LOSTKEYS se isporučuje kroz složen, trostepeni proces infekcije.
„Nisam robot.“ Verovatno ste ovo videli hiljadu puta. U nekim slučajevima, umesto da potvrdite da ste čovek, možete pokrenuti lanac infekcije koji vodi direktno do ruskih obaveštajnih službi.
Upravo je to inicijalna taktika ruskih hakera. Napad počinje lažnim CAPTCHA testom na veb sajtu koji služi kao mamac, na koji meta napada stiže putem linka iz imejla koji je dobila od napadača. Kada potvrdi da je čovek, žrtva dobija instrukciju da nalepi i pokrene PowerShell skriptu u Windows Run. Sledi druga faza, osmišljena da izbegne virtuelne mašine proverom MD5 heša rezolucije ekrana. Treća faza preuzima i dekodira malver. Ova vrsta napada poznata je pod nazivom ClickFix.
Analiza GTIG-a pokazuje da napadači imaju prilagođeni pristup za svaku metu.
Kada inficira uređaj, LOSTKEYS pretražuje sistem, tražeći u određenim folderima fajlove sa određenim ekstenzijama kako bi brzo ukrao lozinke, imejlove i prikupio kontakte sa kompromitovanih naloga. Sve što prikupi od podataka malver šalje direktno nazad napadačima.
Malver je jednostavno „digitalna verzija špijuna koji se ušunjava mikro kamerom i fotografiše osetljive informacije.“
Istraživači su takođe otkrili starije verzije LOSTKEYS-a koje datiraju iz decembra 2023. godine. Ovi stariji uzorci su se maskirali kao fajlovi povezani sa softverom Maltego i koristili su drugačiji metod infekcije. GTIG se nije izjasnio da li je ove uzorke takođe koristila grupa COLDRIVER.
Napadi grupe COLDRIVER su veoma ciljani, fokusirani na pojedince sa pristupom osetljivim informacijama. Istraživači smatraju da se primena malvera poput LOSTKEYS dešava samo u posebnim slučajevima.
GTIG je pozvao korisnike koji su u riziku da se registruju u Google-ov program napredne zaštite (Advanced Protection Program) i omoguće Enhanced Safe Browsing u Chrome-u. GTIG je dodala sve veb sajtove i fajlove povezane sa LOSTKEYS-om u Safe Browsing i izdala direktna upozorenja pogođenim korisnicima Gmail-a i Workspace-a.
Foto: Sergiu Nista | Unsplash
Izdvojeno
Excel prilozi u lažnim mejlovima šire XWorm 7.2
Istraživači iz Fortinet FortiGuard Labs-a upozoravaju na novu kampanju koja koristi lažne poslovne mejlove za širenje XWorm malvera na Windows ra... Dalje
Lažni CAPTCHA navodi korisnike da sami instaliraju malver Amatera Stealer
Istraživači iz kompanije Blackpoint Cyber otkrili su novu kampanju u kojoj napadači koriste lažni CAPTCHA test kako bi naveli korisnike da sami po... Dalje
Povratak malvera GlassWorm: novi talas napada sada cilja Mac računare
Istraživači iz kompanije Koi Security upozorili su na novi talas napada malvera GlassWorm, koji je po prvi put usmeren isključivo na macOS programe... Dalje
Lažni modovi i krekovi kriju Stealka malver koji krade lozinke i kriptovalute
Stručnjaci kompanije Kaspersky otkrili su novi infostealer malver pod nazivom Stealka, koji cilja korisnike Windows sistema. Napadači ga koriste za ... Dalje
MacSync Stealer, prerušen u pouzdanu aplikaciju, krade sve sačuvane lozinke
Godinama su korisnici Mac računara verovali da su bezbedni zahvaljujući Apple-ovom strogom procesu provere aplikacija, koji bi trebalo da garantuje ... Dalje
Pratite nas
Nagrade
Prijatelji
