Вредоносное ПО LOSTKEYS: скрытый инструмент шпионажа, нацеленный на Запад
Новая вредоносная программа, известная как LOSTKEYS , стала инструментом выбора в череде тайных киберопераций с политическим подтекстом. Впервые обнаруженная в конце 2023 года и активно использовавшаяся до начала 2025 года, LOSTKEYS является частью стратегического сдвига связанной с Россией хакерской группы COLDRIVER, которая известна своими кампаниями по кибершпионажу, нацеленными на известных западных лиц и учреждения.
В отличие от традиционных вредоносных программ, предназначенных для массового нарушения работы или финансовых краж, LOSTKEYS предназначен для высокоизбирательных атак, основанных на информации. Его основная цель — тихое проникновение в системы, извлечение конфиденциальных файлов и отправка обратно ключевых системных данных — и все это без обнаружения.
Table of Contents
Что такое LOSTKEYS?
LOSTKEYS — это специально созданная вредоносная программа, способная извлекать определенные типы файлов из указанных папок на компьютере жертвы. Помимо сбора файлов, она также передает системную информацию и запущенные процессы обратно злоумышленникам. LOSTKEYS отличается своей точностью: она нацелена только на системы, которые считаются ценными, что делает ее инструментом, явно предназначенным для шпионажа, а не для широкомасштабного взлома.
Название вредоносной программы может предполагать случайность, но ее развертывание совсем не случайно. Она была замечена в атаках, направленных на правительственных советников, военных, журналистов, аналитические центры, НПО и лиц, связанных с Украиной. Конкретный и ограниченный охват этих целей указывает на их использование для сбора разведданных, а не для получения преступной прибыли.
Как это работает?
Процесс заражения начинается с продвинутой формы социальной инженерии, известной как ClickFix . Жертвы заманиваются на поддельный веб-сайт с помощью поддельного CAPTCHA-теста. Полагая, что они проверяют свою личность, пользователи скопируют команду PowerShell и запустят ее через диалоговое окно Windows Run. Эта команда инициирует цепочку загрузки вредоносного ПО.
Далее следует многоступенчатый процесс, разработанный для того, чтобы избежать обнаружения. Первая полезная нагрузка выполняет проверки среды, вероятно, чтобы определить, запущена ли она на виртуальной машине — обычное дело в лабораториях анализа вредоносных программ. Если проверки среды пройдены, команда извлекает закодированный в Base64 скрипт, который в конечном итоге запускает вредоносную программу LOSTKEYS. После запуска она незаметно сканирует хост-систему, ищет предопределенные типы файлов и каталоги и отправляет данные на удаленный сервер.
Кто за этим стоит?
LOSTKEYS приписывается группе угроз COLDRIVER, которая также отслеживается под такими именами, как Callisto, Star Blizzard и UNC4057. Традиционно эта группа использовала фишинг учетных данных для доступа к учетным записям электронной почты и кражи конфиденциальных сообщений. Однако LOSTKEYS и его предшественник SPICA сигнализируют о новом направлении: прямой компрометации устройств и извлечении данных.
Эксперты по безопасности отмечают, что COLDRIVER обычно действует с геополитическими мотивами. Его цели и тактика тесно связаны с поддерживаемыми государством шпионскими усилиями, а его прошлые кампании продемонстрировали интерес к западной внешней политике, обороне и медиа-секторам.
Последствия LOSTKEYS
Появление LOSTKEYS отражает более масштабную тенденцию в кибероперациях: смешение обманчивой социальной инженерии с вредоносным ПО, разработанным на заказ, для целевого наблюдения. Эти тактики тонкие, эффективные и трудно отслеживаемые, часто оставляя жертв не подозревать, что они были скомпрометированы.
Последствия значительны. Для государственных учреждений и организаций, работающих над деликатными вопросами, особенно связанных с Восточной Европой, риск скрытых утечек данных никогда не был выше. Поскольку LOSTKEYS не предназначен для уничтожения или нарушения, а для тихого сбора данных, его присутствие может оставаться незамеченным в течение длительного времени.
Более того, растущее использование тактик, таких как ClickFix, показывает, как злоумышленники адаптируются. Вместо того, чтобы пытаться взломать усиленную защиту, они эксплуатируют человеческое поведение, убеждая пользователей самостоятельно запускать вредоносные команды. Такой подход может обойти многие традиционные средства контроля безопасности и антивирусную защиту.
Более широкая тенденция
LOSTKEYS не работает изолированно. Другие злоумышленники перепрофилировали метод ClickFix для доставки различных штаммов вредоносного ПО, включая банковские трояны и специфичные для Mac похитители данных. Такие методы, как EtherHiding , скрывающий вредоносный код в транзакциях блокчейна, внедряются в эти кампании, что еще больше усложняет обнаружение.
Недавно один исследователь раскрыл масштабную кампанию под названием MacReaper, в ходе которой более 2800 легитимных веб-сайтов были скомпрометированы для доставки поддельных страниц CAPTCHA. Эти обманные точки входа обслуживают различные семейства вредоносных программ, включая Atomic Stealer , нацеленные на системы macOS.
Будьте в курсе событий и будьте в безопасности
Хотя техническая сложность LOSTKEYS и его механизмов доставки вызывает беспокойство, лучшей защитой остается бдительность. Пользователи должны быть осторожны, когда им предлагают запустить незнакомые команды или взаимодействовать с неожиданными веб-формами. Организации, особенно те, которые имеют дело с конфиденциальными данными или политикой, должны продолжать инвестировать в обучение, защиту конечных точек и разведку угроз.
LOSTKEYS — это напоминание о том, что современные угрозы часто приходят в тонких упаковках. Не шумящие, а тихие операторы могут представлять наибольший риск для безопасности в цифровую эпоху.
