O ator de ameaças vinculado à Rússia, conhecido como COLDRIVER, foi observado distribuindo um novo malware chamado LOSTKEYS como parte de uma campanha voltada para espionagem, utilizando iscas de engenharia social semelhantes a ClickFix.
"LOSTKEYS é capaz de roubar arquivos de uma lista predefinida de extensões e diretórios, além de enviar informações do sistema e processos em execução para o atacante", disse o Google Threat Intelligence Group (GTIG).
O malware, segundo a empresa, foi observado em janeiro, março e abril de 2025 em ataques contra atuais e antigos conselheiros de governos e militares ocidentais, bem como jornalistas, think tanks e ONGs.
Além disso, indivíduos conectados à Ucrânia também foram especificamente visados.
LOSTKEYS é o segundo malware personalizado atribuído ao COLDRIVER após o SPICA, marcando uma continuidade na mudança das campanhas de phishing de credenciais pelas quais o ator de ameaça era conhecido.
O grupo de hacking também é monitorado sob os nomes Callisto, Star Blizzard e UNC4057.
"Eles são conhecidos por roubar credenciais e, após ganhar acesso à conta de um alvo, exfiltram emails e roubam listas de contatos da conta comprometida", disse o pesquisador de segurança Wesley Shields.
Em casos selecionados, o COLDRIVER também entrega malware aos dispositivos alvo e pode tentar acessar arquivos no sistema.
O último conjunto de ataques começa com um site isca contendo uma falsa solicitação de verificação CAPTCHA, onde as vítimas são instruídas a abrir o diálogo Executar do Windows e colar um comando PowerShell copiado para a área de transferência, uma técnica de engenharia social amplamente popular denominada ClickFix.
O comando PowerShell é projetado para baixar e executar a próxima etapa do payload a partir de um servidor remoto ("165.227.148[.]68"), que atua como um downloader para uma terceira fase mas não antes de realizar verificações em um esforço provável para evadir a execução em máquinas virtuais.
Um blob codificado em Base64, o payload da terceira etapa é decodificado em um script PowerShell responsável por executar o LOSTKEYS no host comprometido, permitindo que o ator de ameaças colete informações do sistema, processos em execução e arquivos de uma lista predefinida de extensões e diretórios.
Como no caso do SPICA, avaliou-se que o malware é implantado seletivamente, indicativo da natureza altamente direcionada desses ataques.
O Google também disse que descobriu artefatos LOSTKEYS adicionais remontando a dezembro de 2023 que se disfarçavam como binários relacionados à plataforma de investigação de código aberto Maltego.
Não se sabe se essas amostras têm alguma ligação com o COLDRIVER, ou se o malware foi reaproveitado pelos atores de ameaça a partir de janeiro de 2025.
O desenvolvimento ocorre à medida que o ClickFix continua sendo adotado de forma constante por vários atores de ameaça para distribuir uma ampla gama de famílias de malware, incluindo um trojan bancário chamado Lampion e Atomic Stealer.
Ataques que propagam o Lampion, segundo a Palo Alto Networks Unit 42, usam emails de phishing com anexos de arquivo ZIP como iscas.
Dentro do arquivo ZIP há um arquivo HTML que redireciona o destinatário da mensagem para uma página falsa com instruções ClickFix para lançar o processo de infecção em múltiplas etapas.
"Outro aspecto interessante da cadeia de infecção do Lampion é que ela é dividida em várias etapas não consecutivas, executadas como processos separados", disse a Unit 42.
Esta execução dispersa complica a detecção, pois o fluxo do ataque não forma uma árvore de processos facilmente identificável.
Em vez disso, compreende uma cadeia complexa de eventos individuais, alguns dos quais podem parecer benignos isoladamente.
A campanha maliciosa visou indivíduos e organizações de língua portuguesa em vários setores, incluindo governo, finanças e transporte, acrescentou a empresa.
Nos últimos meses, a estratégia do ClickFix também foi combinada com outra tática astuta chamada EtherHiding, que envolve o uso de contratos da Smart Chain da Binance (BSC) para ocultar o próximo estágio do payload, levando finalmente à entrega de um ladrão de informações do macOS chamado Atomic Stealer.
"Clicar em 'Eu não sou um robô' ativa um Contrato Inteligente da Binance, usando uma técnica EtherHiding, para entregar um comando codificado em Base64 para a área de transferência, o qual os usuários são solicitados a executar no Terminal via atalhos específicos do macOS (⌘ + Espaço, ⌘ + V)", disse um pesquisador independente conhecido pelo alias Badbyte.
Este comando baixa um script que recupera e executa um binário Mach-O assinado, confirmado como Atomic Stealer.
Investigações adicionais encontraram que a campanha provavelmente comprometeu cerca de 2.800 sites legítimos para servir solicitações CAPTCHA falsas.
"O ataque aproveita JavaScript ofuscado, três iframes de tela cheia e infraestrutura de comando baseada em blockchain para maximizar as infecções", acrescentou o pesquisador.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...