El actor de amenaza vinculado a Rusia conocido como Fría se ha observado distribuyendo un nuevo malware llamado Kilómetros perdidos Como parte de una campaña centrada en el espionaje utilizando señuelos de ingeniería social similar a ClickFix.
“Lostkeys es capaz de robar archivos de una índice codificada de extensiones y directorios, adyacente con el remesa de información del sistema y procesos de ejecución al atacante”, dijo el Corro de Inteligencia de Amenazos de Google (GTIG).
El malware, dijo la compañía, se observó en enero, marzo y abril de 2025 en ataques contra asesores actuales y anteriores a gobiernos y militares occidentales, así como periodistas, think tanks y ONG. Por otra parte, las personas conectadas a Ucrania todavía han sido señaladas.
LostKeys es el segundo malware personalizado atribuido a ColdRiver luego de Spica, marcando una desviación continua de las campañas de phishing de credenciales por las que el actor de amenaza ha sido conocido. El rama de piratería todavía se rastrea bajo los nombres Callisto, Star Blizzard y UNC4057.
“Son conocidos por robar credenciales y luego de obtener ataque a la cuenta de un objetivo, exfiltran los correos electrónicos y roban listas de contactos de la cuenta comprometida”, dijo el investigador de seguridad Wesley Shields. “En casos seleccionados, ColdRiver todavía entrega malware a dispositivos de destino y puede intentar entrar a archivos en el sistema”.
El extremo conjunto de ataques comienza con un sitio web de señuelo que contiene un aviso de comprobación Captcha mentiroso, donde se instruye a las víctimas para destapar el diálogo de Windows Run y pegar un comando PowerShell copiado en el portapapeles, una técnica de ingeniería social ampliamente popular citación ClickFix.
El comando PowerShell está diseñado para descargar y ejecutar la subsiguiente carga útil desde un servidor remoto (“165.227.148 (.) 68”), que actúa como un descargador para una tercera etapa pero no antaño de realizar cheques en un probable esfuerzo para escamotear la ejecución en máquinas virtuales.
Una blob codificada por Base64, la carga útil de la tercera etapa se decodifica en un script de PowerShell que es responsable de ejecutar Keys LostKeys en el host comprometido, lo que permite al actor de amenaza cosechar información del sistema, ejecutar procesos y archivos de una índice de extensiones y directorios codificados.
Al igual que en el caso de Spica, se ha evaluado que el malware solo se implementa selectivamente, indicativo de la naturaleza en extremo dirigida de estos ataques.
Google todavía dijo que descubrió artefactos adicionales de LostKeys que se remontan a diciembre de 2023 que se disfrazaban de binarios relacionados con la plataforma de investigación de código destapado de Maltego. No se sabe si estas muestras tienen algún vínculo con ColdRiver, o si el malware fue reutilizado por los actores de amenaza a partir de enero de 2025.
La acogida de ClickFix continúa creciendo
El crecimiento se produce cuando ClickFix continúa siendo recogido constantemente por múltiples actores de amenazas para distribuir una amplia abanico de familias de malware, incluido un troyano bancario llamado Lampion y Atomic Stealer.
Los ataques de propagación de Lampion, por dispositivo de Palo Detención Networks 42, usan correos electrónicos de phishing con archivos adjuntos de archivos postales como señuelos. Presente interiormente del archivo ZIP hay un archivo HTML que redirige al destinatario del mensaje a una página de destino falsa con instrucciones de clickFix para iniciar el proceso de infección de varias etapas.
“Otro aspecto interesante de la sujeción de infecciones de Lampion es que se divide en varias etapas no consecutivas, ejecutadas como procesos separados”, dijo la Mecanismo 42. “Esta ejecución dispersa complica la detección, ya que el flujo de ataque no forma un árbol de proceso fácilmente identificable. En cambio, comprende una sujeción compleja de eventos individuales, algunos de los cuales podrían parecer benignos de forma aislada”.
La campaña maliciosa se dirigió a individuos y organizaciones de acento portuguesa en varios sectores, incluidos el gobierno, las finanzas y el transporte, agregó la compañía.
En los últimos meses, la organización ClickFix todavía se ha combinado con otra táctica furtiva citación Etherhiding, que implica el uso de contratos de sujeción inteligente (BSC) de Binance para ocultar la carga útil de la próxima etapa, lo que finalmente conduce a la entrega de un robador de información de MacOS llamado Atomic Stealer.
“Haga clic en ‘No soy un androide’ desencadena un arreglo inteligente de binance, utilizando una técnica de ethiding, para entregar un comando codificado Base64 al portapapeles, que los usuarios deben ejecutarse en los accesos directos específicos de MacOS (⌘ + espacio, ⌘ + v)”, dijo un investigador independiente que dice el seudónimo Badbyte. “Este comando descarga un script que recupera y ejecuta un binario Mach-O firmado, confirmado como Atomic Stealer”.
Una investigación adicional ha incompatible que la campaña probablemente ha comprometido en torno a de 2,800 sitios web legítimos para servir indicaciones falsas de Captcha. El ataque de aguadero a gran escalera ha sido llamado en código MacReaper por el investigador.
“El ataque aprovecha a JavaScript offush, tres iframes de pantalla completa e infraestructura de comando basada en blockchain para maximizar las infecciones”, agregó el investigador.
