Він необхідний для викрадення документів із західних об’єктів та неурядових організацій.

У Google виявили нове шкідливе програмне забезпечення під назвою LOSTKEYS. Його пов’язують із підтримуваною російським урядом та пов’язаною з ФСБ групою кіберзлочинців COLDRIVER (також відомою як UNC4057, Star Blizzard та Callisto).

Про це повідомили у компанії за підсумками розслідування Google Threat Intelligence Group (GTIG), передає Суспільне. 

LOSTKEYS здатне красти файли з жорстко закодованого списку розширень та каталогів, а також надсилати системну інформацію та запускати процеси зловмиснику.

LOSTKEYS виявляли у січні, березні та квітні 2025 року. Це нова розробкою в наборі інструментів COLDRIVER, групи, відомої переважно фішингом облікових даних проти відомих цілей, таких як уряди країн НАТО, неурядові організації та колишні співробітники розвідки та дипломатичні офіцери. GTIG відстежує COLDRIVER протягом багатьох років.

Зазвичай атакує відомих людей

Зазвичай COLDRIVER атакує відомих людей, які користуються особистими електронними адресами. Або адресами неурядових організацій. Хакери відомі тим, що крадуть облікові дані, і після отримання доступу до облікового запису цілі витягують електронні листи та крадуть списки контактів зі скомпрометованого облікового запису. У деяких випадках COLDRIVER також доставляє шкідливе програмне забезпечення на цільові пристрої та може намагатися отримати доступ до файлів у системі.

Серед нещодавніх цілей кампаній COLDRIVER були нинішні та колишні радники західних урядів та військових. А також журналісти, аналітичні центри та неурядові організації. Група також продовжує переслідувати осіб, пов’язаних з Україною. У Google вважають, що основною метою операцій COLDRIVER є збір розвідувальних даних на підтримку стратегічних інтересів Росії.

Як відбувається атака

LOSTKEYS доставляється в кінці багатоступеневого ланцюжка зараження, який починається з вебсайту-приманки з підробленим CAPTCHA. Після того, як CAPTCHA буде “перевірено”, PowerShell копіюється в буфер обміну користувача, і сторінка пропонує користувачеві запустити PowerShell за допомогою командного рядка Windows.

“Кінцевим результатом цього є VBS, який ми називаємо LOSTKEYS. Це шкідливе програмне забезпечення, здатне красти файли з жорстко закодованого списку розширень і каталогів, а також надсилати системну інформацію та запускати процеси зловмиснику. Типова поведінка COLDRIVER полягає у крадіжці облікових даних, а потім у їх використанні для крадіжки електронних листів і контактів”, — зазначили у Google.

Нагадаємо, у серпні минулого року Google остаточно відключив російських користувачів від монетизації