LOSTKEYS Malware: Et skjult spionageværktøj rettet mod Vesten
En ny malware kendt som LOSTKEYS er dukket op som et foretrukket værktøj i en række hemmelige cyberoperationer med politiske undertoner. LOSTKEYS, der først blev opdaget i slutningen af 2023 og set i aktiv brug frem til begyndelsen af 2025, er en del af et strategisk skift fra den Rusland-forbundne hackergruppe COLDRIVER, der er kendt for sine cyberspionagekampagner rettet mod højtprofilerede vestlige individer og institutioner.
I modsætning til traditionel malware designet til masseforstyrrelser eller økonomisk tyveri, er LOSTKEYS skræddersyet til yderst selektive, informationsdrevne angreb. Dens primære formål er i al hemmelighed at infiltrere systemer, tvangsudvinde følsomme filer og sende vigtige systemoplysninger tilbage – alt imens man undgår opdagelse.
Table of Contents
Hvad er LOSTKEYS?
LOSTKEYS er et specialbygget malwareprogram, der er i stand til at udtrække specifikke filtyper fra udpegede mapper på et offers computer. Udover at indsamle filer sender det også systemoplysninger og kørende processer tilbage til angriberne. Det, der adskiller LOSTKEYS, er dets præcision: det er kun rettet mod systemer, der anses for værdifulde, hvilket gør det til et værktøj, der tydeligvis er designet til spionage snarere end omfattende kompromittering.
Malwarens navn antyder måske tilfældighed, men dens udrulning er alt andet end det. Den er blevet observeret i angreb rettet mod regeringsrådgivere, militærpersonale, journalister, tænketanke, NGO'er og enkeltpersoner med forbindelser til Ukraine. Det specifikke og begrænsede omfang af disse mål peger på deres anvendelse til efterretningsindsamling snarere end kriminel profit.
Hvordan fungerer det?
Infektionsprocessen begynder med en avanceret form for social engineering kendt som ClickFix . Ofrene lokkes til et lokkewebsted med en forfalsket CAPTCHA-udfordring. I den tro, at de bekræfter deres identitet, bliver brugerne bedt om at kopiere en PowerShell-kommando og køre den via Windows Kør-dialogboksen. Denne kommando starter malware-downloadkæden.
Det følgende er en flertrinsproces, der er designet til at undgå detektion. Den første nyttelast udfører miljøtjek, sandsynligvis for at detektere, om den kører på en virtuel maskine – almindeligt i malwareanalyselaboratorier. Hvis miljøtjekkene består, henter kommandoen et Base64-kodet script, der til sidst udfører LOSTKEYS-malwaren. Når den kører, scanner den stille værtssystemet, leder efter foruddefinerede filtyper og mapper og sender dataene til en fjernserver.
Hvem står bag det?
LOSTKEYS er blevet tilskrevet trusselsgruppen COLDRIVER, der også spores under navne som Callisto, Star Blizzard og UNC4057. Traditionelt har denne gruppe benyttet sig af phishing med legitimationsoplysninger til at få adgang til e-mailkonti og stjæle følsom kommunikation. LOSTKEYS og dens forgænger, SPICA , signalerer dog en ny retning: direkte enhedskompromittering og dataudtrækning.
Sikkerhedseksperter bemærker, at COLDRIVER typisk opererer med geopolitiske motiver. Dens mål og taktikker stemmer tæt overens med statsstøttede spionageindsatser, og dens tidligere kampagner har vist interesse for vestlig udenrigspolitik, forsvar og mediesektorer.
Implikationer af LOSTKEYS
Fremkomsten af LOSTKEYS afspejler en større tendens inden for cyberoperationer: blandingen af vildledende social engineering med specialbygget malware til målrettet overvågning. Disse taktikker er subtile, effektive og vanskelige at spore, hvilket ofte efterlader ofrene uvidende om, at de er blevet kompromitteret.
Implikationerne er betydelige. For offentlige myndigheder og organisationer, der arbejder med følsomme emner, især dem, der er forbundet med Østeuropa, har risikoen for stille datalækager aldrig været højere. Fordi LOSTKEYS ikke er designet til at ødelægge eller forstyrre, men til stille at indsamle data, kan dens tilstedeværelse gå uopdaget hen i lange perioder.
Desuden viser den stigende brug af taktikker som ClickFix, hvordan angribere tilpasser sig. I stedet for at forsøge at bryde ind i hærdede forsvar, udnytter de menneskelig adfærd – de overtaler brugerne til selv at køre ondsindede kommandoer. Denne tilgang kan omgå mange traditionelle sikkerhedskontroller og antivirusbeskyttelser.
En bredere tendens
LOSTKEYS opererer ikke isoleret. Andre trusselsaktører har genbrugt ClickFix-metoden til at levere forskellige malware-stammer, herunder banktrojanere og Mac-specifikke datatyveri. Teknikker som EtherHiding , der skjuler ondsindet kode i blockchain-transaktioner, integreres i disse kampagner, hvilket gør detektion endnu mere udfordrende.
En forsker afslørede for nylig en massiv kampagne kaldet MacReaper, hvor over 2.800 legitime websteder blev kompromitteret for at levere falske CAPTCHA-sider. Disse vildledende indgangspunkter betjener en række malwarefamilier, herunder Atomic Stealer , der er rettet mod macOS-systemer.
Hold dig informeret og sikker
Selvom den tekniske sofistikering af LOSTKEYS og dets leveringsmekanismer er bekymrende, er det bedste forsvar stadig årvågenhed. Brugere bør være forsigtige, når de bliver bedt om at køre ukendte kommandoer eller interagere med uventede webformularer. Organisationer, især dem, der beskæftiger sig med følsomme data eller politikker, bør fortsætte med at investere i træning, endpoint-beskyttelse og trusselsinformation.
LOSTKEYS er en påmindelse om, at moderne trusler ofte kommer i diskrete pakker. Det er ikke dem, der skaber støj, men de stille operatører, der kan udgøre den største risiko for sikkerheden i den digitale tidsalder.
