Malver je korišćen u nizu sajber napada tokom januara, marta i aprila, koji se pripisuju COLDRIVER-u, grupi povezanoj sa ruskom vladom, poznatoj i pod imenima UNC4057, Star Blizzard i Callisto.
Ranije poznata prvenstveno po fišing napadima na zapadne diplomate, nevladine organizacije i zaposlene u obaveštajnim agencijama, grupa sada primenjuje naprednije alate kako bi direktno kompromitovala uređaje žrtava.
LOSTKEYS se isporučuje kroz složen, trostepeni proces infekcije
„Nisam robot.“ Verovatno ste ovo videli hiljadu puta. U nekim slučajevima, umesto da potvrdite da ste čovek, možete pokrenuti lanac infekcije koji vodi direktno do ruskih obaveštajnih službi.
Upravo je to inicijalna taktika ruskih hakera. Napad počinje lažnim CAPTCHA testom na veb sajtu koji služi kao mamac, na koji meta napada stiže putem linka iz imejla koji je dobila od napadača.
Kada potvrdi da je čovek, žrtva dobija instrukciju da nalepi i pokrene PowerShell skriptu u Windows Run. Sledi druga faza, osmišljena da izbegne virtuelne mašine proverom MD5 heša rezolucije ekrana. Treća faza preuzima i dekodira malver. Ova vrsta napada poznata je pod nazivom ClickFix.
Analiza GTIG-a pokazuje da napadači imaju prilagođeni pristup za svaku metu
Kada inficira uređaj, LOSTKEYS pretražuje sistem, tražeći u određenim folderima fajlove sa određenim ekstenzijama kako bi brzo ukrao lozinke, imejlove i prikupio kontakte sa kompromitovanih naloga. Sve što prikupi od podataka malver šalje direktno nazad napadačima.
Malver je jednostavno „digitalna verzija špijuna koji se ušunjava mikro kamerom i fotografiše osetljive informacije.“
Istraživači su takođe otkrili starije verzije LOSTKEYS-a koje datiraju iz decembra 2023. godine. Ovi stariji uzorci su se maskirali kao fajlovi povezani sa softverom Maltego i koristili su drugačiji metod infekcije. GTIG se nije izjasnio da li je ove uzorke takođe koristila grupa COLDRIVER.
Napadi grupe COLDRIVER su veoma ciljani, fokusirani na pojedince sa pristupom osetljivim informacijama. Istraživači smatraju da se primena malvera poput LOSTKEYS dešava samo u posebnim slučajevima.
GTIG je pozvao korisnike koji su u riziku da se registruju u Google-ov program napredne zaštite (Advanced Protection Program) i omoguće Enhanced Safe Browsing u Chrome-u. GTIG je dodala sve veb sajtove i fajlove povezane sa LOSTKEYS-om u Safe Browsing i izdala direktna upozorenja pogođenim korisnicima Gmail-a i Workspace-a.
Autor: Marija Radić
