Google Ancaman Intelijen (GTIG) berbagi laporan tentang malware baru minggu lalu. Malware baru, yang disebut Lostkeys, digambarkan sebagai malware pencurian data dan dikatakan terkait dengan kelompok ancaman Coldriver Rusia. Lostkeys dianggap berbahaya karena memanjang pada akhir rantai beberapa langkah yang dimulai dengan situs web umpan. Malware dapat mencuri file tertentu dari daftar ekstensi dan direktori yang dikodekan. Selain itu, Anda juga dapat mengirim informasi sistem dan menjalankan proses ke penyerang.
Malware baru yang dikaitkan dengan kelompok ancaman Rusia yang diidentifikasi Coldriver
Di dalam BlogRaksasa teknologi yang berbasis di Mountain View menekankan bahwa malware yang baru ditemukan pertama kali diamati pada bulan Januari, diikuti oleh beberapa pengamatan pada bulan Maret dan April. Tampaknya menjadi alat baru di gudang senjata Coldriver Threat Group (juga dikenal sebagai UNC4057, Star Blizzard dan Callisto).
Secara khusus, Google menunjukkan bahwa Coldriver dikenal karena melaksanakan phishing kredensial terhadap tujuan seperti pemerintah NATO, organisasi non -pemerintah (LSM), serta militer, jurnalis dan pejabat diplomatik. Grup yang terkait dengan SPICA malware pada tahun 2024.
Modus grup (MO) kelompok lebih rumit daripada serangan phishing yang khas. Pertama, email palsu yang dilewatkan melalui lembaga -lembaga yang sah dibagikan kepada para korban. Email -email ini berisi tautan ke situs web. Ini adalah situs web penguasa yang menghadirkan captcha palsu untuk meyakinkan korban legitimasi mereka. Ketika pengguna mengkonfirmasi captcha, PowerShell disalin ke clipboard pengguna.
Secara khusus, PowerShell adalah bahasa baris perintah dan bahasa urutan perintah yang terutama digunakan untuk administrasi sistem, otomatisasi dan administrasi konfigurasi di lingkungan Windows. Karena PowerShell diintegrasikan ke dalam Windows dan memiliki akses mendalam ke sistem, penyerang sering menyalahgunakan dan menjalankan malware dalam memori.
Setelah PowerShell disalin, halaman meminta pengguna untuk menjalankan aplikasi “Execute”. Setelah pengguna melakukan itu, ia memicu tahap kedua, yang berfokus pada penghitungan hash MD5 dari resolusi tampilan perangkat. Biasanya diikuti oleh tahap ketiga untuk menghindari eksekusi di mesin virtual (jika tidak mendeteksi MD5 pada langkah kedua).
Setelah ini, eksekusi kode lain memulihkan dan mendekode muatan akhir, yang merupakan file skrip dasar visual (VBS), juga dikenal sebagai Lostkeys. GTIG menyoroti bahwa ia dapat “mencuri file dari daftar ekstensi dan direktori yang dikodekan, bersama dengan pengiriman informasi sistem dan proses eksekusi ke penyerang.”
Google menyatakan bahwa Coldriver biasanya menggunakan malware untuk mencuri email dan tujuan tujuan; Namun, kadang -kadang, diketahui juga bahwa peralatan malware seperti SPICA untuk mengakses dokumen di sistem tujuan. Lostkeys juga memungkinkan tujuan serupa.
Secara khusus, raksasa teknologi telah menambahkan semua situs web, domain, dan arsip jahat yang diidentifikasi untuk navigasi yang aman di Google Chrome untuk melindungi pengguna eksploitasi. Selain itu, ia juga mengirimkan peringatan penyerang yang didukung oleh pemerintah ke tujuan Gmail dan ruang kerja. Peringatan ini memberi tahu pengguna tentang ancaman dan mendorong mereka untuk memungkinkan peningkatan navigasi yang aman.
