Novi malver ruskih hakera LOSTKEYS je digitalna verzija špijuna
Opisi virusa, 09.05.2025, 10:00 AM

Google-ova obaveštajna grupa za pretnje (GTIG) identifikovala je novi malver pod nazivom LOSTKEYS, dizajniran za krađu fajlova i sistemskih podataka. Malver je korišćen u nizu sajber napada tokom januara, marta i aprila, koji se pripisuju COLDRIVER-u, grupi povezanoj sa ruskom vladom, poznatoj i pod imenima UNC4057, Star Blizzard i Callisto.
Ranije poznata prvenstveno po fišing napadima na zapadne diplomate, nevladine organizacije i zaposlene u obaveštajnim agencijama, grupa sada primenjuje naprednije alate kako bi direktno kompromitovala uređaje žrtava.
LOSTKEYS se isporučuje kroz složen, trostepeni proces infekcije.
„Nisam robot.“ Verovatno ste ovo videli hiljadu puta. U nekim slučajevima, umesto da potvrdite da ste čovek, možete pokrenuti lanac infekcije koji vodi direktno do ruskih obaveštajnih službi.
Upravo je to inicijalna taktika ruskih hakera. Napad počinje lažnim CAPTCHA testom na veb sajtu koji služi kao mamac, na koji meta napada stiže putem linka iz imejla koji je dobila od napadača. Kada potvrdi da je čovek, žrtva dobija instrukciju da nalepi i pokrene PowerShell skriptu u Windows Run. Sledi druga faza, osmišljena da izbegne virtuelne mašine proverom MD5 heša rezolucije ekrana. Treća faza preuzima i dekodira malver. Ova vrsta napada poznata je pod nazivom ClickFix.
Analiza GTIG-a pokazuje da napadači imaju prilagođeni pristup za svaku metu.
Kada inficira uređaj, LOSTKEYS pretražuje sistem, tražeći u određenim folderima fajlove sa određenim ekstenzijama kako bi brzo ukrao lozinke, imejlove i prikupio kontakte sa kompromitovanih naloga. Sve što prikupi od podataka malver šalje direktno nazad napadačima.
Malver je jednostavno „digitalna verzija špijuna koji se ušunjava mikro kamerom i fotografiše osetljive informacije.“
Istraživači su takođe otkrili starije verzije LOSTKEYS-a koje datiraju iz decembra 2023. godine. Ovi stariji uzorci su se maskirali kao fajlovi povezani sa softverom Maltego i koristili su drugačiji metod infekcije. GTIG se nije izjasnio da li je ove uzorke takođe koristila grupa COLDRIVER.
Napadi grupe COLDRIVER su veoma ciljani, fokusirani na pojedince sa pristupom osetljivim informacijama. Istraživači smatraju da se primena malvera poput LOSTKEYS dešava samo u posebnim slučajevima.
GTIG je pozvao korisnike koji su u riziku da se registruju u Google-ov program napredne zaštite (Advanced Protection Program) i omoguće Enhanced Safe Browsing u Chrome-u. GTIG je dodala sve veb sajtove i fajlove povezane sa LOSTKEYS-om u Safe Browsing i izdala direktna upozorenja pogođenim korisnicima Gmail-a i Workspace-a.
Foto: Sergiu Nista | Unsplash

Izdvojeno
Nevidljivi lopov: Kako NFC malver SuperCard krade novac sa računa korisnika Androida

Ruski stručnjaci za sajber bezbednost upozorili su na napade u kojima se za krađu podataka koristi modifikovana verzija legitimnog NFC softvera. Oni... Dalje
Novi opasni ransomware briše sadržaj fajlova na uređajima
.png)
Istraživači iz kompanije Trend Micro otkrili su novi ransomware koji osim mogućnosti šifrovanja fajlova, ima mogućnost i njihovog trajnog brisa... Dalje
Malver Myth Stealer: kradljivac podataka na lažnim sajtovima sa video igrama

Istraživači sajber bezbednosti iz Trellix-a upozorili su na novi malver za krađu podataka pod nazivom Myth Stealer, koji se širi putem lažnih veb... Dalje
Malver Acreed: nova zvezda na crnom sajber-tržištu
.jpg)
Na ruskom hakerskom sajtu Russian Market pojavio se novi malver po imenu Acreed, koji je za kratko vreme postao veoma popularan, a očekuje se da će ... Dalje
Malver FrigidStealer inficira macOS preko lažnih ažuriranja Safari-ja
.jpg)
Istraživači iz firme za sajber bezbednost Wazuh upozorili su na malver FrigidStealer koji inficira macOS preko lažnih ažuriranja pregledača da bi... Dalje
Pratite nas
Nagrade