Rusya bağlantılı tehdit aktörü olarak bilinen Soğuk algınlığı yeni bir kötü amaçlı yazılım dağıtımı gözlemlendi Kayıpkeyler ClickFix benzeri sosyal mühendislik lurs kullanan casusluk odaklı bir kampanyanın bir parçası olarak.
Google Tehdit İstihbarat Grubu (GTIG), “Kayıpkeyler, saldırgana sistem bilgileri ve çalıştırma işlemleri göndermenin yanı sıra sabit kodlu uzantılar ve dizinler listesinden dosyaları çalabiliyor.” Dedi.
Şirket, kötü amaçlı yazılımın, Ocak, Mart ve Nisan 2025’te, Batı hükümetlerine ve askerlerine, gazetecilere, düşünce kuruluşlarına ve STK’lara mevcut ve eski danışmanlara yönelik saldırılarda gözlemlendiğini söyledi. Buna ek olarak, Ukrayna’ya bağlı bireyler de seçildi.
Lostkeys, Spica’dan sonra Coldriver’a atfedilen ikinci özel kötü amaçlı yazılımdır ve aktörün bildiği kimlik avı kampanyalarından sürekli ayrılış işaret eder. Hacking grubu ayrıca Callisto, Star Blizzard ve UNC4057 isimleri altında izlenir.
Güvenlik Araştırmacı Wesley Shields, “Kimlik bilgilerini çalmakla biliniyorlar ve bir hedefin hesabına eriştikten sonra e -postaları söndürüyorlar ve tehlikeye atılan hesaptan iletişim listelerini çalıyorlar.” Dedi. “Seçilmiş durumlarda, Coldriver ayrıca hedef cihazlara kötü amaçlı yazılım sunar ve sistemdeki dosyalara erişmeye çalışabilir.”
En son saldırılar seti, kurbanlara Windows Run iletişim kutusunu açmaları ve panoya kopyalanan bir PowerShell komutunu açmaları talimat verildiği sahte bir captcha doğrulama istemi içeren bir tuzak web sitesi ile başlar.
PowerShell komutu, bir sonraki yükü uzak bir sunucudan indirip yürütmek için tasarlanmıştır (“165.227.148[.]68 “), üçüncü aşama için indirici görevi görür, ancak sanal makinelerde yürütmeden kaçınmak için olası bir çabada kontrol yapmadan önce.
Base64 kodlu bir blob olan üçüncü aşamalı yük, tehdit edilen ana bilgisayarda kayıpkeyleri yürütmekten sorumlu bir PowerShell komut dosyası haline getirilir ve tehdit oyuncusunun sistem bilgilerini, süreçleri ve dosyaları sabit kodlu bir uzantı ve dizin listesinden toplamasına izin verir.
Spica örneğinde olduğu gibi, kötü amaçlı yazılımların yalnızca bu saldırıların yüksek hedefli doğasını gösteren seçici olarak konuşlandırıldığı değerlendirilmiştir.
Google ayrıca, Aralık 2023’e kadar uzanan ve Maltego açık kaynaklı soruşturma platformuyla ilgili ikili dosyalar olarak görünen ek Lostkeys eserlerini ortaya çıkardığını söyledi. Bu numunelerin Coldriver ile herhangi bir bağı olup olmadığı veya kötü amaçlı yazılımların Ocak 2025’ten itibaren tehdit aktörleri tarafından yeniden kullanıldığı bilinmemektedir.
ClickFix benimseme büyümeye devam ediyor
Geliştirme, ClickFix’in, Lampion ve Atomic Stealer adlı bir bankacılık Truva atı da dahil olmak üzere çok çeşitli kötü amaçlı yazılım ailelerini dağıtmak için birden fazla tehdit aktörleri tarafından sürekli olarak benimsenmeye devam ettiği için ortaya çıkıyor.
Palo Alto Networks Birimi 42’ye göre lampion yayma saldırıları, zip dosyası ekleri taşıyan kimlik avı e -postalarını lures olarak kullanın. ZIP arşivinde, mesaj alıcısını çok aşamalı enfeksiyon sürecini başlatmak için ClickFix talimatlarıyla sahte bir açılış sayfasına yönlendiren bir HTML dosyası bulunur.
Ünite 42, “Lampion enfeksiyon zincirinin bir başka ilginç yönü de, ayrı süreçler olarak yürütülen birkaç ardışık aşamaya bölünmesidir.” Dedi. “Bu dağınık yürütme, saldırı akışı kolayca tanımlanabilir bir proses ağacı oluşturmadığından tespiti karmaşıklaştırır. Bunun yerine, bazıları tek başına iyi huylu görünebilen karmaşık bir bireysel olay zincirini içerir.”
Kötü niyetli kampanya, Portekizce konuşan bireyleri ve hükümet, finans ve ulaşım da dahil olmak üzere çeşitli sektörlerdeki kuruluşları hedefledi.
Son aylarda, ClickFix stratejisi, Binance’ın bir sonraki aşamalı yükü gizlemek için Binance’ın Akıllı Zinciri (BSC) sözleşmelerini kullanmayı içeren, sonuçta Atomic Stealer adlı bir macOS bilgi stealer’ın teslimine yol açan Etherhiding adlı başka bir sinsi taktikle birleştirildi.
“Robot değilim ‘Ben bir robot değilim, bir eterhiding tekniği kullanarak bir Binance akıllı sözleşmesini tetikler, panoya taban kodlu bir komut sunmak için kullanıcıların macOS’a özgü kısayollar (⌘ + uzay, ⌘ + v) yoluyla terminalde çalıştırılması istenir.” “Bu komut, atomik stealer olarak onaylanan imzalı bir Mach-o ikili olarak alıp yürüten bir komut dosyasını indirir.”
Daha fazla araştırma, kampanyanın sahte captcha istemlerine hizmet etmek için yaklaşık 2.800 meşru web sitesini tehlikeye attığını tespit etti. Büyük ölçekli sulama deliği saldırısı araştırmacı tarafından makreak olarak kodlanmıştır.
Araştırmacı, “Saldırı, enfeksiyonları en üst düzeye çıkarmak için gizlenmiş JavaScript, üç tam ekran IFREME ve blockchain tabanlı komut altyapısından yararlanıyor.”