Az új LOSTKEYS malware terjesztése ClickFix technikával
A Google Threat Intelligence Group (GTIG) azonosított egy új, LOSTKEYS nevű kártevőt, amelyet az állítólag orosz kormány által támogatott COLDRIVER (UNC4057, Star Blizzard és Callisto néven is ismert) kiberszereplőnek tulajdonítanak. A LOSTKEYS képes fájlokat lopni, amelyek adott kiterjesztéssel rendelkeznek vagy adott könyvtárakban vannak, valamint rendszerinformációkat és futó folyamatokat képes továbbítani a kiberszereplőnek. A 2025 januárjában, márciusában és áprilisában megfigyelt LOSTKEYS új fejleményt jelent a COLDRIVER eszköztárában. A csoport elsősorban olyan magas rangú célpontok elleni adathalász tevékenységeiről ismert, mint egyes NATO tagok kormányai, nem kormányzati szervezetek (NGO-k) és korábbi hírszerzési és diplomáciai tisztviselők. A GTIG úgy véli, hogy a COLDRIVER műveleteinek elsődleges célja Oroszország stratégiai érdekeit támogató hírszerzés.
A COLDRIVER jellemzően magas rangú személyeket céloz meg személyes e-mail címeiken. Ismertek arról, hogy hitelesítő adatokat lopnak, és miután hozzáférést szereztek a célpont fiókjához, e-maileket és kontaktlistákat szereznek meg a kompromittált fiókból. Egyes esetekben a COLDRIVER rosszindulatú szoftvereket is eljuttat a célzott eszközökre, és megpróbál hozzáférni a rendszerben lévő fájlokhoz. A COLDRIVER legutóbbi kampányainak célpontjai között voltak nyugati kormányok és hadseregek jelenlegi és korábbi tanácsadói, valamint újságírók, agytrösztök és nem kormányzati szervezetek. A csoport célpontjai között szerepelnek továbbra is Ukrajnához kötődő személyeket.
A fertőzési lánc egy hamis CAPTCHA-val ellátott csali weboldallal kezdődik. Miután a CAPTCHA-t „ellenőrizték”, a PowerShell átmásolódik a felhasználó vágólapjára, és az oldal arra kéri a felhasználót, hogy a Windows parancssorban futtassa a PowerShellt. A PowerShell lekérdezi és végrehajtja a második szakaszt. A COLDRIVER nem az egyetlen olyan kiberszereplő, amely a ClickFix technikával juttatja el a malware-t a céleszközökre. A második szakasz kiszámítja az eszköz kijelzőfelbontásának MD5 hash-ét, és ha az MD5 három meghatározott érték egyike, akkor leállítja a végrehajtást, ellenkező esetben áttér a harmadik szakaszra. Ez a lépés valószínűleg azért történik, hogy elkerülje a VM-ekben történő végrehajtást. A harmadik szakasz lekérdezi és dekódolja a végső payload-ot, amihez még két további fájlt tölt le. Az első egy Visual Basic Script (VBS) fájl, amelyet „dekódolónak” nevez a GTIG, amely a második dekódolásáért felelős. A dekódolási folyamat két kulcsot használ, amelyek fertőzési lánconként egyediek. Ennek végeredménye egy VBS, amelyet LOSTKEYS-nek nevezett el a GTIG.
A GTIG megosztotta az IoC-kat és a kapcsolódó YARA szabályokat.
