LOSTKEYS-skadlig programvara: Ett smygande spionverktyg riktat mot väst

En ny skadlig kod, känd som LOSTKEYS , har framträtt som ett föredraget verktyg i en rad hemliga cyberoperationer med politiska undertoner. LOSTKEYS upptäcktes först i slutet av 2023 och användes aktivt fram till början av 2025. Det är en del av ett strategiskt skifte av den Rysslandskopplade hackergruppen COLDRIVER, som är känd för sina cyberspionagekampanjer riktade mot högprofilerade västerländska individer och institutioner.

Till skillnad från traditionell skadlig kod utformad för massförstörelse eller ekonomisk stöld är LOSTKEYS skräddarsydd för mycket selektiva, informationsdrivna attacker. Dess primära syfte är att i tysthet infiltrera system, stjäla känsliga filer och skicka tillbaka viktig systeminformation – allt samtidigt som upptäckt undviks.

Vad är LOSTKEYS?

LOSTKEYS är ett specialbyggt skadligt program som kan extrahera specifika filtyper från utsedda mappar på ett offers dator. Förutom att samla in filer överför det även systeminformation och körda processer tillbaka till angriparna. Det som skiljer LOSTKEYS från mängden är dess precision: det riktar sig endast mot system som anses värdefulla, vilket gör det till ett verktyg som tydligt är utformat för spionage snarare än storskalig kompromiss.

Namnet på den skadliga programvaran kanske antyder slumpmässighet, men dess utplacering är allt annat än det. Den har observerats i attacker riktade mot regeringsrådgivare, militär personal, journalister, tankesmedjor, icke-statliga organisationer och individer med kopplingar till Ukraina. Den specifika och begränsade omfattningen av dessa mål pekar på att de används för underrättelseinsamling snarare än för kriminell vinst.

Hur fungerar det?

Infektionsprocessen börjar med en avancerad form av social ingenjörskonst som kallas ClickFix . Offren lockas till en lockbeteendewebbplats med en förfalskad CAPTCHA-utmaning. Användare, som tror att de verifierar sin identitet, uppmanas att kopiera ett PowerShell-kommando och köra det via Windows Kör-dialogruta. Detta kommando initierar nedladdningskedjan för skadlig programvara.

Det som följer är en process i flera steg utformad för att undvika upptäckt. Den första nyttolasten utför miljökontroller, troligen för att upptäcka om den körs i en virtuell maskin – vanligt förekommande i laboratorier för analys av skadlig kod. Om miljökontrollerna godkänns hämtar kommandot ett Base64-kodat skript som så småningom kör LOSTKEYS-skadlig programvara. När den körs skannar den tyst värdsystemet, letar efter fördefinierade filtyper och kataloger och skickar data till en fjärrserver.

Vem står bakom det?

LOSTKEYS har tillskrivits hotgruppen COLDRIVER, som också spåras under namn som Callisto, Star Blizzard och UNC4057. Traditionellt har denna grupp förlitat sig på nätfiske för att komma åt e-postkonton och stjäla känslig kommunikation. LOSTKEYS och dess föregångare, SPICA , signalerar dock en ny riktning: direkt enhetskompromettering och datautvinning.

Säkerhetsexperter noterar att COLDRIVER vanligtvis verkar med geopolitiska motiv. Dess mål och taktiker ligger nära i linje med statsstödda spionageinsatser, och dess tidigare kampanjer har visat ett intresse för västerländsk utrikespolitik, försvar och mediesektorer.

Konsekvenser av LOSTKEYS

LOSTKEYS framväxt speglar en större trend inom cyberoperationer: en blandning av vilseledande social ingenjörskonst med specialbyggd skadlig kod för riktad övervakning. Dessa taktiker är subtila, effektiva och svåra att spåra, vilket ofta gör att offren är omedvetna om att de har blivit komprometterade.

Konsekvenserna är betydande. För myndigheter och organisationer som arbetar med känsliga frågor, särskilt de som är kopplade till Östeuropa, har risken för tysta dataläckor aldrig varit högre. Eftersom LOSTKEYS inte är utformat för att förstöra eller störa utan för att i tysthet samla in data, kan dess närvaro gå oupptäckt under långa perioder.

Dessutom visar den ökande användningen av taktiker som ClickFix hur angripare anpassar sig. Istället för att försöka bryta sig igenom förstärkta försvar utnyttjar de mänskligt beteende – de övertalar användare att själva köra skadliga kommandon. Denna metod kan kringgå många traditionella säkerhetskontroller och antivirusskydd.

En bredare trend

LOSTKEYS fungerar inte isolerat. Andra hotaktörer har använt ClickFix-metoden på nytt för att leverera olika typer av skadlig kod, inklusive banktrojaner och Mac-specifika datastölder. Tekniker som EtherHiding , som döljer skadlig kod i blockkedjetransaktioner, integreras i dessa kampanjer, vilket gör upptäckten ännu svårare.

En forskare avslöjade nyligen en massiv kampanj kallad MacReaper, där över 2 800 legitima webbplatser komprometterades för att leverera falska CAPTCHA-sidor. Dessa vilseledande ingångspunkter används av en mängd olika familjer av skadlig kod, inklusive Atomic Stealer , som riktar sig mot macOS-system.

Hålla sig informerad och säker

Även om den tekniska sofistikeringen av LOSTKEYS och dess leveransmekanismer är oroande, är det bästa försvaret fortfarande vaksamhet. Användare bör vara försiktiga när de uppmanas att köra okända kommandon eller interagera med oväntade webbformulär. Organisationer, särskilt de som hanterar känsliga uppgifter eller policyer, bör fortsätta att investera i utbildning, endpoint-skydd och hotinformation.

LOSTKEYS är en påminnelse om att moderna hot ofta kommer i subtila paket. Det är inte de som skapar oväsen utan de tysta operatörerna som kan utgöra den största risken för säkerheten i den digitala tidsåldern.

År Willa
May 8, 2025
malware
Svenska
May 8, 2025
malware

Populära inlägg

Vad är OperaGXSetup.exe-filen och är den skadlig?

11 months sedan

Eporner.com och varför dess överdrivna popup-fönster är riskabla

21 days sedan

HackTool:Win32/Crack: ett skadligt hot som allvarligt kan...

7 months sedan

Förstå och mildra hotet med W32.AIDetectMalware

10 months sedan

Vad är hotet om den trojanska hästen från Packunwan och hur...

11 months sedan

Varför användare blir förvånade när de hittar...

2 months sedan
Svenska
Läser in...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Hem

Produkter

Cyclonis Password Manager Cyclonis World Time

Support

Hjälpfiler Vanliga frågor Downloads Inquiries & Support

Företag

Om oss Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Integritetspolicy Cookie Policy Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows är ett varumärke som tillhör Microsoft, registrerat i USA och andra länder.
Mac, iPhone, iPad och App Store är varumärken som tillhör Apple Inc., registrerade i USA och andra länder.
iOS är ett registrerat varumärke som tillhör Cisco Systems, Inc. och/eller dess dotterbolag i USA och vissa andra länder.
Android och Google Play är varumärken som tillhör Google LLC.