Aktor ancaman terkait Rusia yang dikenal sebagai Coldriver telah diamati mendistribusikan malware baru yang disebut Lostkeys Sebagai bagian dari kampanye yang berfokus pada spionase menggunakan umpan rekayasa sosial seperti clickfix.
“Lostkeys mampu mencuri file dari daftar ekstensi dan direktori yang dikodekan dengan keras, bersama dengan mengirimkan informasi sistem dan menjalankan proses ke penyerang,” kata Google Ancaman Intelijen (GTIG).
Malware, kata perusahaan itu, diamati pada bulan Januari, Maret, dan April 2025 dalam serangan terhadap penasihat saat ini dan mantan penasihat pemerintah dan militer Barat, serta jurnalis, think tank, dan LSM. Selain itu, orang -orang yang terhubung dengan Ukraina juga telah dipilih.
Lostkeys adalah malware kustom kedua yang dikaitkan dengan Coldriver setelah Spica, menandai keberangkatan berkelanjutan dari kampanye phishing kredensial aktor ancaman telah dikenal. Grup peretasan juga dilacak dengan nama Callisto, Star Blizzard, dan UNC4057.
“Mereka dikenal karena mencuri kredensial dan setelah mendapatkan akses ke akun target mereka mengeksfiltrasi email dan mencuri daftar kontak dari akun yang dikompromikan,” kata peneliti keamanan Wesley Shields. “Dalam kasus tertentu, Coldriver juga memberikan malware untuk menargetkan perangkat dan dapat mencoba mengakses file pada sistem.”
Set serangan terbaru dimulai dengan situs web umpan yang berisi prompt verifikasi captcha palsu, di mana para korban diperintahkan untuk membuka dialog Windows Run dan menempelkan perintah PowerShell yang disalin ke clipboard, teknik teknik sosial yang sangat populer yang dijuluki clickfix.
Perintah PowerShell dirancang untuk mengunduh dan menjalankan muatan berikutnya dari server jarak jauh (“165.227.148[.]68 “), yang bertindak sebagai pengunduh untuk tahap ketiga tetapi tidak sebelum melakukan pemeriksaan dalam upaya yang mungkin untuk menghindari eksekusi dalam mesin virtual.
Gumpalan yang dikodekan basis64, muatan tahap ketiga diterjemahkan menjadi skrip PowerShell yang bertanggung jawab untuk melaksanakan Lostkeys pada host yang dikompromikan, memungkinkan aktor ancaman untuk memanen informasi sistem, menjalankan proses, dan file dari daftar ekstensi dan sutradara yang dikodekan dengan keras.
Seperti dalam kasus Spica, telah dinilai bahwa malware hanya digunakan secara selektif, menunjukkan sifat yang sangat ditargetkan dari serangan-serangan ini.
Google juga mengatakan bahwa itu mengungkap artefak Lostkeys tambahan yang kembali ke Desember 2023 yang menyamar sebagai binari terkait dengan platform investigasi open-source Maltego. Tidak diketahui apakah sampel -sampel ini memiliki ikatan dengan Coldriver, atau apakah malware itu digunakan kembali oleh para aktor ancaman mulai Januari 2025.
Adopsi clickfix terus tumbuh
Pengembangan datang ketika ClickFix terus diadopsi dengan mantap oleh beberapa aktor ancaman untuk mendistribusikan berbagai keluarga malware, termasuk Trojan perbankan yang disebut Lampion dan pencuri atom.
Serangan Propagating Lampion, per Palo Alto Networks Unit 42, gunakan email phishing yang membawa lampiran file zip sebagai umpan. Hadir dalam arsip ZIP adalah file HTML yang mengarahkan kembali penerima pesan ke halaman pendaratan palsu dengan instruksi clickFix untuk meluncurkan proses infeksi multi-tahap.
“Aspek lain yang menarik dari rantai infeksi Lampion adalah dibagi menjadi beberapa tahap non-berturut-turut, dieksekusi sebagai proses terpisah,” kata Unit 42. “Eksekusi yang tersebar ini memperumit deteksi, karena aliran serangan tidak membentuk pohon proses yang dapat diidentifikasi. Sebaliknya, itu terdiri dari rantai kompleks peristiwa individu, beberapa di antaranya dapat tampak jinak dalam isolasi.”
Kampanye berbahaya menargetkan individu dan organisasi berbahasa Portugis di berbagai sektor, termasuk pemerintah, keuangan, dan transportasi, tambah perusahaan.
Dalam beberapa bulan terakhir, strategi clickFix juga telah dikombinasikan dengan taktik licik lain yang disebut Etherhiding, yang melibatkan penggunaan kontrak Binance's Smart Chain (BSC) untuk menyembunyikan muatan tahap selanjutnya, yang pada akhirnya mengarah pada pengiriman pencuri informasi macOS yang disebut pencuri atom.
“Mengklik 'I'm Not a Robot' memicu kontrak pintar Binance, menggunakan teknik Etherhiding, untuk mengirimkan perintah yang dikodekan oleh base64 ke clipboard, yang diminta pengguna untuk berjalan di terminal melalui pintasan spesifik macOS (⌘ + space, ⌘ + v),” seorang peneliti independen yang menggunakan ALIAS Badybyte. “Perintah ini mengunduh skrip yang mengambil dan menjalankan biner Mach-O yang ditandatangani, dikonfirmasi sebagai pencuri atom.”
Investigasi lebih lanjut telah menemukan bahwa kampanye ini kemungkinan telah mengganggu sekitar 2.800 situs web yang sah untuk melayani petunjuk captcha palsu. Serangan lubang penyiraman skala besar telah diberi nama kode yang lebih besar oleh peneliti.
“Serangan itu memanfaatkan JavaScript yang mengabarkan, tiga iframe layar penuh, dan infrastruktur komando berbasis blockchain untuk memaksimalkan infeksi,” tambah peneliti.
