El actor de amenaza vinculado a Rusia conocido como Fría se ha observado distribuyendo un nuevo malware llamado Kilómetros perdidos Como parte de una campaña centrada en el espionaje utilizando señuelos de ingeniería social similar a ClickFix.
«Lostkeys es capaz de robar archivos de una letanía codificada de extensiones y directorios, cercano con el emisión de información del sistema y procesos de ejecución al atacante», dijo el Categoría de Inteligencia de Amenazos de Google (GTIG).
El malware, dijo la compañía, se observó en enero, marzo y abril de 2025 en ataques contra asesores actuales y anteriores a gobiernos y militares occidentales, así como periodistas, think tanks y ONG. Encima, las personas conectadas a Ucrania asimismo han sido señaladas.
LostKeys es el segundo malware personalizado atribuido a ColdRiver luego de Spica, marcando una desviación continua de las campañas de phishing de credenciales por las que el actor de amenaza ha sido conocido. El congregación de piratería asimismo se rastrea bajo los nombres Callisto, Star Blizzard y UNC4057.
«Son conocidos por robar credenciales y luego de obtener llegada a la cuenta de un objetivo, exfiltran los correos electrónicos y roban listas de contactos de la cuenta comprometida», dijo el investigador de seguridad Wesley Shields. «En casos seleccionados, ColdRiver asimismo entrega malware a dispositivos de destino y puede intentar conseguir a archivos en el sistema».
El final conjunto de ataques comienza con un sitio web de señuelo que contiene un aviso de demostración Captcha adulterado, donde se instruye a las víctimas para rajar el diálogo de Windows Run y pegar un comando PowerShell copiado en el portapapeles, una técnica de ingeniería social ampliamente popular señal ClickFix.
El comando PowerShell está diseñado para descargar y ejecutar la futuro carga útil desde un servidor remoto («165.227.148 (.) 68»), que actúa como un descargador para una tercera etapa pero no antaño de realizar cheques en un probable esfuerzo para esquivar la ejecución en máquinas virtuales.
Una blob codificada por Base64, la carga útil de la tercera etapa se decodifica en un script de PowerShell que es responsable de ejecutar Keys LostKeys en el host comprometido, lo que permite al actor de amenaza cosechar información del sistema, ejecutar procesos y archivos de una letanía de extensiones y directorios codificados.
Al igual que en el caso de Spica, se ha evaluado que el malware solo se implementa selectivamente, indicativo de la naturaleza en extremo dirigida de estos ataques.
Google asimismo dijo que descubrió artefactos adicionales de LostKeys que se remontan a diciembre de 2023 que se disfrazaban de binarios relacionados con la plataforma de investigación de código libre de Maltego. No se sabe si estas muestras tienen algún vínculo con ColdRiver, o si el malware fue reutilizado por los actores de amenaza a partir de enero de 2025.
La prohijamiento de ClickFix continúa creciendo
El avance se produce cuando ClickFix continúa siendo prohijado constantemente por múltiples actores de amenazas para distribuir una amplia tonalidad de familias de malware, incluido un troyano bancario llamado Lampion y Atomic Stealer.
Los ataques de propagación de Lampion, por mecanismo de Palo Detención Networks 42, usan correos electrónicos de phishing con archivos adjuntos de archivos postales como señuelos. Presente interiormente del archivo ZIP hay un archivo HTML que redirige al destinatario del mensaje a una página de destino falsa con instrucciones de clickFix para iniciar el proceso de infección de varias etapas.
«Otro aspecto interesante de la sujeción de infecciones de Lampion es que se divide en varias etapas no consecutivas, ejecutadas como procesos separados», dijo la Dispositivo 42. «Esta ejecución dispersa complica la detección, ya que el flujo de ataque no forma un árbol de proceso fácilmente identificable. En cambio, comprende una sujeción compleja de eventos individuales, algunos de los cuales podrían parecer benignos de forma aislada».
La campaña maliciosa se dirigió a individuos y organizaciones de deje portuguesa en varios sectores, incluidos el gobierno, las finanzas y el transporte, agregó la compañía.
En los últimos meses, la organización ClickFix asimismo se ha combinado con otra táctica furtiva señal Etherhiding, que implica el uso de contratos de sujeción inteligente (BSC) de Binance para ocultar la carga útil de la próxima etapa, lo que finalmente conduce a la entrega de un robador de información de MacOS llamado Atomic Stealer.
«Haga clic en ‘No soy un autómata’ desencadena un convenio inteligente de binance, utilizando una técnica de ethiding, para entregar un comando codificado Base64 al portapapeles, que los usuarios deben ejecutarse en los accesos directos específicos de MacOS (⌘ + espacio, ⌘ + v)», dijo un investigador independiente que dice el mote Badbyte. «Este comando descarga un script que recupera y ejecuta un binario Mach-O firmado, confirmado como Atomic Stealer».
Una investigación adicional ha antitético que la campaña probablemente ha comprometido cerca de de 2,800 sitios web legítimos para servir indicaciones falsas de Captcha. El ataque de pila a gran escalera ha sido llamado en código MacReaper por el investigador.
«El ataque aprovecha a JavaScript offush, tres iframes de pantalla completa e infraestructura de comando basada en blockchain para maximizar las infecciones», agregó el investigador.
