Google идентифицирует Lostkeys, российское вредоносное ПО, которое может украсть определенные файлы и каталоги

Согласно Google, LostKeys – это визуальный базовый скрипт (VBS). src = “https://i.gadgets360cdn.com/large/cybersecurity1_reuters_1735807239998.jpg?downsize=950:*” alt = “Google идентифицирует Lostkeys, российское вредоносное ПО, которое может воровать файлы и каталогов”/>

'ablageys' goodmemed '> goodmemed'> goodmemed Веб -сайты, которые могут распространять это вредоносное ПО

реклама

На прошлой неделе Google Intelligence Group (GTIG) поделилась отчетом о новой части вредоносного ПО. Новое вредоносное ПО, получившее название Lostkeys, описывается как вредоносное ПО кражу данных и, как говорят, связано с российской группой угроз ColdRiver. LostKeys считается опасным, потому что он распространяется в конце многоэтапной цепочки, которая начинается с веб-сайта приманки. Улбпрограммное обеспечение может украсть определенные файлы из твердого кодируемого списка расширений и каталогов. Кроме того, он также может отправлять системную информацию и запуска процессов злоумышленнику.В сообщении в блоге технологический гигант, основанный на Маунтин-Вью, подчеркнул, что недавно обнаруженное вредоносное ПО было впервые замечено в январе, за которым последовали многочисленные наблюдения в марте и апреле. Похоже, что это новый инструмент в арсенале группы угроз ColdRiver (также известный как UNC4057, Star Blizzard и Callisto).

Примечательно, что Google подчеркивает, что Coldriver известен тем, что управляет полномочиями против таких целей, как правительства НАТО, неправительственные организации (NGO), а также боевые, журналисты и дипломатические офицеры. Группа была связана с вредоносным программным обеспечением Spica в 2024 году.

Modus operandi (MO) группы сложнее, чем типичные фишинговые атаки. Во -первых, фальшивые электронные письма, выдавающие себя за законные учреждения, делятся жертвами. Эти электронные письма содержат ссылки на веб -сайт. Это веб -сайты приманки, в которых представлены фальшивые капчи, чтобы убедить жертву их легитимности. Когда пользователь подтверждает CAPTCHA, PowerShell копируется в буфер обмена пользователя.

Примечательно, что PowerShell-это языковой и сценариев командной строки и сценариев, в основном используемым для системного администрирования, автоматизации и управления конфигурацией в средах Windows. Поскольку PowerShell встроен в Windows и имеет глубокий доступ к систему, атакующие часто подвергаются злоупотреблениям для загрузки и выполнения вредоносного ПО в памяти. Как только пользователь это сделал, он запускает второй этап, который сосредоточен на вычислении хэша MD5 с разрешения дисплея устройства. Обычно следует третий этап, чтобы избежать выполнения в виртуальных машинах (в случае, если он не обнаружил MD5 на втором этапе).

После этого другое выполнение кода извлекает и декодирует окончательную полезную нагрузку, которая представляет собой файл Visual Basic Script (VBS), иначе известный как Lostkeys. GTIG подчеркивает, что он способен «красть файлы из твердого кодируемого списка расширений и каталогов, наряду с отправкой системной информации и запуском процессов злоумышленнику». Тем не менее, иногда известно, что он также использует вредоносное ПО, такое как Spica, для доступа к документам в целевой системе. LostKeys также позволяет аналогичная цель.

• AI Microsoft обнаруживает недостатки безопасности в загрузчиках для Linux Systems

Примечательно, что технический гигант добавил все идентифицированные вредоносные веб -сайты, домены и файлы для безопасного просмотра в Google Chrome, чтобы защитить пользователей от эксплуатации. Кроме того, он также отправляет оповещения злоумышленника, поддерживаемых правительством, предателям-пользователям Gmail и Workspace. Эти предупреждения уведомляют пользователей об угрозе и поощряют их обеспечить улучшение безопасного просмотра.