Malware LOSTKEYS: uma ferramenta de espionagem furtiva que tem como alvo o Ocidente
Um novo malware conhecido como LOSTKEYS surgiu como ferramenta de escolha em uma série de operações cibernéticas secretas com conotações políticas. Detectado pela primeira vez no final de 2023 e visto em uso ativo até o início de 2025, o LOSTKEYS faz parte de uma mudança estratégica do grupo de hackers COLDRIVER, ligado à Rússia, conhecido por suas campanhas de ciberespionagem direcionadas a indivíduos e instituições ocidentais de alto perfil.
Ao contrário do malware tradicional, projetado para perturbações em massa ou roubo financeiro, o LOSTKEYS é projetado para ataques altamente seletivos, baseados em informações. Seu objetivo principal é infiltrar-se silenciosamente em sistemas, extrair arquivos confidenciais e enviar de volta detalhes importantes do sistema — tudo isso sem ser detectado.
Table of Contents
O que é LOSTKEYS?
O LOSTKEYS é um programa de malware personalizado capaz de extrair tipos específicos de arquivos de pastas designadas no computador da vítima. Além de coletar arquivos, ele também transmite informações do sistema e processos em execução para os invasores. O que diferencia o LOSTKEYS é sua precisão: ele visa apenas sistemas considerados valiosos, tornando-se uma ferramenta claramente projetada para espionagem, em vez de comprometimento em larga escala.
O nome do malware pode sugerir aleatoriedade, mas sua implantação é tudo menos isso. Ele foi observado em ataques direcionados a assessores governamentais, militares, jornalistas, think tanks, ONGs e indivíduos com vínculos com a Ucrânia. O escopo específico e limitado desses alvos indica seu uso para coleta de inteligência e não para fins criminosos.
Como funciona?
O processo de infecção começa com uma forma avançada de engenharia social conhecida como ClickFix . As vítimas são atraídas para um site falso com um desafio CAPTCHA falso. Acreditando estar verificando sua identidade, os usuários são solicitados a copiar um comando do PowerShell e executá-lo na caixa de diálogo Executar do Windows. Esse comando inicia a cadeia de download do malware.
O que se segue é um processo de várias etapas projetado para evitar a detecção. O primeiro comando realiza verificações de ambiente, provavelmente para detectar se está sendo executado em uma máquina virtual — comum em laboratórios de análise de malware. Se as verificações de ambiente forem aprovadas, o comando recupera um script codificado em Base64 que, por fim, executa o malware LOSTKEYS. Uma vez executado, ele varre silenciosamente o sistema host, procurando por tipos de arquivo e diretórios predefinidos, e envia os dados para um servidor remoto.
Quem está por trás disso?
O LOSTKEYS foi atribuído ao grupo de ameaças COLDRIVER, também rastreado por nomes como Callisto, Star Blizzard e UNC4057. Tradicionalmente, esse grupo utiliza phishing de credenciais para acessar contas de e-mail e roubar comunicações confidenciais. No entanto, o LOSTKEYS e seu antecessor, o SPICA , sinalizam uma nova direção: comprometimento direto de dispositivos e extração de dados.
Especialistas em segurança observam que o COLDRIVER normalmente opera com motivações geopolíticas. Seus alvos e táticas estão intimamente alinhados com esforços de espionagem apoiados por Estados, e suas campanhas anteriores demonstraram interesse nos setores de política externa, defesa e mídia ocidentais.
Implicações de LOSTKEYS
O surgimento do LOSTKEYS reflete uma tendência mais ampla nas operações cibernéticas: a combinação de engenharia social enganosa com malware personalizado para vigilância direcionada. Essas táticas são sutis, eficazes e difíceis de rastrear, muitas vezes deixando as vítimas sem saber que foram comprometidas.
As implicações são significativas. Para agências e organizações governamentais que trabalham com questões sensíveis, especialmente aquelas ligadas à Europa Oriental, o risco de vazamentos silenciosos de dados nunca foi tão alto. Como o LOSTKEYS não foi projetado para destruir ou interromper, mas para coletar dados silenciosamente, sua presença pode passar despercebida por longos períodos.
Além disso, o uso crescente de táticas como o ClickFix demonstra como os invasores estão se adaptando. Em vez de tentar violar defesas reforçadas, eles exploram o comportamento humano, persuadindo os usuários a executar comandos maliciosos. Essa abordagem pode contornar muitos controles de segurança e proteções antivírus tradicionais.
Uma tendência mais ampla
O LOSTKEYS não opera isoladamente. Outros agentes de ameaças reutilizaram o método ClickFix para distribuir diferentes tipos de malware, incluindo trojans bancários e ladrões de dados específicos para Mac. Técnicas como o EtherHiding , que oculta códigos maliciosos em transações de blockchain, estão sendo incorporadas a essas campanhas, tornando a detecção ainda mais desafiadora.
Um pesquisador descobriu recentemente uma campanha massiva chamada MacReaper, na qual mais de 2.800 sites legítimos foram comprometidos para exibir páginas falsas de CAPTCHA. Esses pontos de entrada enganosos atendem a uma variedade de famílias de malware, incluindo o Atomic Stealer , que tem como alvo sistemas macOS.
Mantendo-se informado e seguro
Embora a sofisticação técnica do LOSTKEYS e seus mecanismos de entrega sejam preocupantes, a melhor defesa continua sendo a vigilância. Os usuários devem ser cautelosos quando solicitados a executar comandos desconhecidos ou interagir com formulários web inesperados. As organizações, especialmente aquelas que lidam com dados ou políticas confidenciais, devem continuar investindo em treinamento, proteção de endpoints e inteligência de ameaças.
LOSTKEYS é um lembrete de que as ameaças modernas costumam vir em pacotes sutis. Não são os que fazem barulho, mas os operadores silenciosos que podem representar o maior risco à segurança na era digital.
