De Rusland-gekoppelde dreigingsacteur bekend als Koude is waargenomen om een nieuwe malware te distribueren genaamd LostKeys Als onderdeel van een spionagegerichte campagne met behulp van ClickFix-achtige social engineering kunstaas.
“LostKeys is in staat om bestanden te stelen uit een harde lijst met extensies en mappen, samen met het verzenden van systeeminformatie en het uitvoeren van processen naar de aanvaller,” zei de Google Threat Intelligence Group (GTIG).
De malware, zei het bedrijf, werd waargenomen in januari, maart en april 2025 in aanvallen op huidige en voormalige adviseurs voor westerse regeringen en militairen, evenals journalisten, denktanks en NGO’s. Bovendien zijn personen die verbonden zijn met Oekraïne ook zijn uitgekozen.
Lostkeys is de tweede aangepaste malware die na Spica aan Coldriver wordt toegeschreven, wat een voortdurende afwijking markeert van de referentie -phishing -campagnes waar de dreigingsacteur bekend om staat. De hackgroep wordt ook gevolgd onder de namen Callisto, Star Blizzard en UNC4057.
“Ze staan bekend om het stelen van referenties en nadat ze toegang hebben gekregen tot het account van een doelwit, exfiltreren ze e -mails en stelen ze contactlijsten van het gecompromitteerde account,” zei beveiligingsonderzoeker Wesley Shields. “In geselecteerde gevallen levert Coldriver ook malware om apparaten te richten en kan proberen toegang te krijgen tot bestanden op het systeem.”
De nieuwste set aanvallen begint met een Decoy -website met een nep Captcha Verification Prompt, waarbij slachtoffers worden geïnstrueerd om het Windows Run -dialoogvenster te openen en een PowerShell -opdracht te plakken dat naar het klembord is gekopieerd, een zeer populaire social engineeringtechniek nagesynchroniseerd Clickfix.
De opdracht PowerShell is ontworpen om de volgende payload te downloaden en uit te voeren van een externe server (“165.227.148 (.) 68”), die fungeert als een downloader voor een derde fase, maar niet voordat ze cheques uitvoeren in een waarschijnlijke poging om de uitvoering in virtuele machines te ontwijken.
Een Base64-gecodeerde blob, de derde fase lading wordt gedecodeerd in een PowerShell-script dat verantwoordelijk is voor het uitvoeren van Lostkeys op de gecompromitteerde host, waardoor de dreigingsacteur systeeminformatie, processen en bestanden uit een harde gecodeerde lijst van extensies en directories kan oogsten.
Net als in het geval van Spica is beoordeeld dat de malware alleen selectief wordt ingezet, indicatief voor de zeer gerichte aard van deze aanvallen.
Google zei ook dat het extra LostKeys-artefacten ontdekte die teruggingen tot december 2023 die zich vermomden als binaries die verband hielden met het Maltego Open-Source onderzoeksplatform. Het is niet bekend of deze monsters banden hebben met Coldriver, of dat de malware vanaf januari 2025 opnieuw werd gebruikt door de dreigingsacteurs.
Clickfix -adoptie blijft groeien
De ontwikkeling komt omdat ClickFix door meerdere dreigingsacteurs gestaag wordt aangenomen om een breed scala aan malwarefamilies te distribueren, waaronder een Banking Trojan genaamd Lampion en Atomic Stealer.
Aanvallen propagerende Lampion, per Palo Alto Networks Unit 42, gebruik phishing -e -mails met zip -bestandsbijlagen als kunstaas. Presenteer in het ZIP-archief is een HTML-bestand dat de ontvanger van het bericht omleidt naar een nep-bestemmingspagina met ClickFix-instructies om het meerstage-infectieproces te starten.
“Een ander interessant aspect van de infectieketen van Lampion is dat deze is verdeeld in verschillende niet-opeenvolgende fasen, uitgevoerd als afzonderlijke processen,” zei Unit 42. “Deze verspreide uitvoering compliceert de detectie, omdat de aanvalsstroom geen gemakkelijk identificeerbare procesboom vormt. In plaats daarvan omvat deze een complexe keten van individuele gebeurtenissen, waarvan sommige goedaardig kunnen lijken.”
De kwaadwillende campagne was gericht op Portugese sprekende individuen en organisaties in verschillende sectoren, waaronder overheid, financiën en transport, voegde het bedrijf eraan toe.
In de afgelopen maanden is de ClickFix-strategie ook gecombineerd met een andere stiekeme tactiek genaamd Etherhiding, waarbij Binance’s Smart Chain (BSC) -contracten worden gebruikt om de payload op de volgende fase te verbergen, wat uiteindelijk leidt tot de levering van een MacOS-informatie-stealer genaamd Atomic Stealer.
“Klik op ‘Ik ben geen robot’ activeert een binance slim contract, met behulp van een etherhiding-techniek, om een base64-gecodeerde opdracht te leveren aan het klembord, die gebruikers worden gevraagd om in terminal te worden uitgevoerd via macOS-specifieke snelkoppelingen (⌘ + ruimte, ⌘ + V),” een onafhankelijke onderzoeker die met het Alias Badbyte wordt uitgevoerd. “Deze opdracht downloadt een script dat een ondertekende mach-o binair haalt en uitvoert, bevestigd als atomaire stealer.”
Verder onderzoek is gebleken dat de campagne waarschijnlijk ongeveer 2.800 legitieme websites heeft aangetast om nep -captcha -prompts te dienen. De grootschalige drinkan-aanval is door de onderzoeker macreaper gecodeerd.
“De aanval maakt gebruik van verdoezelde JavaScript, drie full-screen iframes en blockchain-gebaseerde opdrachtinfrastructuur om infecties te maximaliseren,” voegde de onderzoeker toe.
