Malware LOSTKEYS: uno strumento di spionaggio stealth che prende di mira l'Occidente
Un nuovo malware, noto come LOSTKEYS , è emerso come strumento privilegiato in una serie di operazioni informatiche segrete con connotazioni politiche. Rilevato per la prima volta alla fine del 2023 e in uso attivo fino all'inizio del 2025, LOSTKEYS fa parte di un cambio di strategia da parte del gruppo di hacker COLDRIVER, legato alla Russia, noto per le sue campagne di cyberspionaggio rivolte a personaggi e istituzioni occidentali di alto profilo.
A differenza dei malware tradizionali progettati per interrompere massicciamente i sistemi o per il furto di denaro, LOSTKEYS è progettato per attacchi altamente selettivi basati sulle informazioni. Il suo scopo principale è infiltrarsi silenziosamente nei sistemi, esfiltrare file sensibili e inviare informazioni chiave sul sistema, il tutto evitando di essere rilevato.
Table of Contents
Che cosa è LOSTKEYS?
LOSTKEYS è un malware personalizzato in grado di estrarre specifici tipi di file da cartelle designate sul computer della vittima. Oltre a raccogliere file, trasmette anche informazioni di sistema e processi in esecuzione agli aggressori. Ciò che distingue LOSTKEYS è la sua precisione: prende di mira solo i sistemi ritenuti preziosi, rendendolo uno strumento chiaramente progettato per lo spionaggio piuttosto che per la compromissione su larga scala.
Il nome del malware potrebbe suggerire una casualità, ma il suo utilizzo è tutt'altro. È stato osservato in attacchi rivolti a consulenti governativi, personale militare, giornalisti, think tank, ONG e individui con legami con l'Ucraina. La portata specifica e limitata di questi obiettivi indica il loro utilizzo a fini di intelligence piuttosto che per profitto criminale.
Come funziona?
Il processo di infezione inizia con una forma avanzata di ingegneria sociale nota come ClickFix . Le vittime vengono attirate su un sito web fittizio con un CAPTCHA contraffatto. Credendo di dover verificare la propria identità, agli utenti viene chiesto di copiare un comando di PowerShell ed eseguirlo tramite la finestra di dialogo Esegui di Windows. Questo comando avvia la catena di download del malware.
Quello che segue è un processo multifase progettato per eludere il rilevamento. Il primo payload esegue controlli ambientali, probabilmente per rilevare se è in esecuzione su una macchina virtuale, una prassi comune nei laboratori di analisi malware. Se i controlli ambientali vengono superati, il comando recupera uno script codificato in Base64 che alla fine esegue il malware LOSTKEYS. Una volta eseguito, esegue una scansione silenziosa del sistema host, alla ricerca di tipi di file e directory predefiniti, e invia i dati a un server remoto.
Chi c'è dietro?
LOSTKEYS è stato attribuito al gruppo di minacce COLDRIVER, che viene monitorato anche con nomi come Callisto, Star Blizzard e UNC4057. Tradizionalmente, questo gruppo si è affidato al phishing delle credenziali per accedere agli account di posta elettronica e rubare comunicazioni sensibili. Tuttavia, LOSTKEYS e il suo predecessore, SPICA , indicano una nuova direzione: la compromissione diretta dei dispositivi e l'estrazione di dati.
Gli esperti di sicurezza sottolineano che COLDRIVER opera tipicamente con motivazioni geopolitiche. I suoi obiettivi e le sue tattiche sono strettamente allineati alle attività di spionaggio sostenute dallo stato, e le sue campagne passate hanno dimostrato un interesse per la politica estera, la difesa e i settori dei media occidentali.
Implicazioni di LOSTKEYS
La comparsa di LOSTKEYS riflette una tendenza più ampia nelle operazioni informatiche: la combinazione di tecniche di ingegneria sociale ingannevoli con malware creati ad hoc per la sorveglianza mirata. Queste tattiche sono subdole, efficaci e difficili da tracciare, e spesso lasciano le vittime all'oscuro di essere state compromesse.
Le implicazioni sono significative. Per le agenzie governative e le organizzazioni che lavorano su questioni delicate, soprattutto quelle legate all'Europa orientale, il rischio di fughe di dati silenziose non è mai stato così elevato. Poiché LOSTKEYS non è progettato per distruggere o interrompere, ma per raccogliere silenziosamente i dati, la sua presenza potrebbe passare inosservata per lunghi periodi.
Inoltre, il crescente utilizzo di tattiche come ClickFix dimostra come gli aggressori si stiano adattando. Invece di cercare di violare le difese più robuste, sfruttano il comportamento umano, inducendo gli utenti a eseguire comandi dannosi. Questo approccio può aggirare molti controlli di sicurezza tradizionali e protezioni antivirus.
Una tendenza più ampia
LOSTKEYS non opera in modo isolato. Altri autori di minacce hanno riadattato il metodo ClickFix per diffondere diversi tipi di malware, tra cui trojan bancari e ladri di dati specifici per Mac. Tecniche come EtherHiding , che nasconde codice dannoso all'interno delle transazioni blockchain, vengono integrate in queste campagne, rendendone ancora più difficile il rilevamento.
Un ricercatore ha recentemente scoperto una massiccia campagna chiamata MacReaper, in cui oltre 2.800 siti web legittimi sono stati compromessi per fornire false pagine CAPTCHA. Questi punti di ingresso ingannevoli sono utilizzati da diverse famiglie di malware, tra cui Atomic Stealer , che prende di mira i sistemi macOS.
Rimanere informati e sicuri
Sebbene la complessità tecnica di LOSTKEYS e dei suoi meccanismi di distribuzione sia preoccupante, la migliore difesa rimane la vigilanza. Gli utenti dovrebbero essere cauti quando viene richiesto di eseguire comandi non familiari o di interagire con moduli web inaspettati. Le organizzazioni, in particolare quelle che gestiscono dati o policy sensibili, dovrebbero continuare a investire in formazione, protezione degli endpoint e intelligence sulle minacce.
LOSTKEYS ci ricorda che le minacce moderne spesso si presentano in modo subdolo. Non sono i rumorosi, ma gli operatori silenziosi a rappresentare il rischio maggiore per la sicurezza nell'era digitale.
