کشف بدافزار LOSTKEYS؛ دزدی حرفه‌ای اسناد غربی توسط COLDRIVER

گزارش گوگل: COLDRIVER با بدافزار جدید اسناد غربی‌ها را می‌دزدد

گروه تهدید COLDRIVER طبق گزارشی از بخش اطلاعات تهدید گوگل در ۷ مه از بدافزار جدیدی برای سرقت اسناد اهداف غربی استفاده می‌کند.

این بدافزار که LOSTKEYS نام دارد، نشان‌دهنده تحول این گروه از فیشینگ مدارک تا حملات پیچیده‌تر است.

بر اساس گزارش گوگل، این بدافزار در چهار مرحله نصب می‌شود: ابتدا از طریق یک «وب‌سایت طعمه» با کپچا جعلی، سپس اسکریپت PowerShell به کلیپ‌بورد کاربر دانلود شده، در ادامه با روش‌هایی برای دور زدن موانع دستگاه بار نهایی (payload) بازیابی و در نهایت بدافزار نصب می‌شود.

LOSTKEYS می‌تواند فایل‌ها را از پسوندها و پوشه‌های مختلف بدزدد و اطلاعات سیستم و فرایندهای در حال اجرا را به COLDRIVER ارسال کند.

طبق گوگل، منبع بخش‌های مختلف حمله از آدرس «165.227.148[.]68» است.

گوگل می‌گوید برای کاهش هرگونه آسیب ناشی از بدافزار LOSTKEYS اقدام کرده است، از جمله اضافه کردن وب‌سایت‌های مخرب به قابلیت «Safe Browsing».

بر اساس گوگل، COLDRIVER گروه تهدیدی با پشتیبانی روسیه است که معمولاً به اهداف برجسته غربی مانند دیپلمات‌های سابق و روزنامه‌نگاران حملات فیشینگ انجام می‌دهد.

در ژانویه ۲۰۲۴، این گروه حمله‌ای با بدافزار «Spica» آغاز کرد که قادر به اجرای دستورات دلخواه شِل و دانلود یا آپلود نرم‌افزار است.

هک‌های رمزنگاری در سال ۲۰۲۵ افزایش یافته و زیان‌های کل تنها در سه‌ماهه اول به ۲ میلیارد دلار رسیده است که از مجموع زیان‌های ثبت‌شده در سال ۲۰۲۴ بیشتر است.

طبق گزارشی از شرکت امنیت سایبری رمزنگاری Hacken، نقص‌های عملیاتی و کنترل‌های دسترسی ضعیف همچنان از نقاط ضعف اصلی هستند؛ حتی در میان بازیگران عمده متمرکز و غیرمتمرکز.

حمله‌کنندگان به طور فزاینده از تاکتیک‌های مهندسی اجتماعی برای جلب اعتماد قربانیان استفاده می‌کنند.

از جمله این زیان‌ها، هک ۱.۵ میلیارد دلاری صرافی رمزنگاری Bybit در فوریه است که گفته می‌شود توسط گروه لازاروس انجام شد.