El mundo sombrío de espionaje cibernético Tiene un nuevo jugador en el campo: una pieza astuta de malware denominada «Lostkeys». De acuerdo a Googleun estado ruso respaldado malware La tripulación conocida como ColdRiver ha estado utilizando Kidkeys desde el comienzo del año para husmear sobre gobiernos occidentales, periodistas, think tanks y organizaciones no gubernamentales.
Coldriver no es exactamente un niño nuevo en el bloque. En diciembre, el Reino Unido y sus aliados de inteligencia de «Five Eyes» les señalaron el dedo. El grupo de piratería estaba directamente vinculado al Servicio Federal de Seguridad (FSB) de Rusia, que es básicamente su contrainteligencia y seguridad interna Bigwig.
Google revela LostKeys, un malware vinculado a Rusia
El Grupo de Inteligencia de Amenazas de Google (GTIG) vio por primera vez los perdidos en enero. Parece que ColdRiver lo ha estado implementando en ataques de «ClickFix» muy específicos. Piense en estos como trabajos de estafa digital donde engañan a las personas para que ejecute guiones dudosos de PowerShell. Básicamente, los ataques ClickFix se basan en la ingeniería social clásica.
Una vez que Los scripts se están ejecutandoallanan el camino para que se descarguen y ejecuten aún más la maldad de PowerShell. Su objetivo principal es la instalación de LostKeys, que Google ha identificado como un malware de robo de datos de Visual Basic Script (VBS). De acuerdo a Informe de GTIGLostKeys es como un «aspiradora digital» que extrae archivos y directorios específicos. También Envía información del sistema y corre los procesos de regreso a los atacantes.
El MO habitual de ColdRiver implica robar detalles de inicio de sesión para robar correos electrónicos y contactos. Sin embargo, también se sabe que implementan otro malware llamado SPICA para tomar documentos y archivos. Lostkeys parece estar sirviendo un propósito similar, pero solo se trae para aquellos «casos altamente selectivos. » Esto sugiere que es una herramienta más especializada en el kit de herramientas de espionaje de ColdRiver.
Curiosamente, Coldriver no es el único grupo patrocinado por el estado que incursionan en estos ataques de clickfix. El inframundo cibernético es aparentemente fanático de esta táctica, con grupos vinculados a Corea del Norte (Kimsuky), Irán (Muddywater) e incluso otros actores rusos (APT28 y Unk_remoterogue), todos utilizando métodos similares en sus recientes campañas de espionaje.
Coldriver operando desde 2017
Coldriver también es conocido por algunos otros alias, como Star Blizzard y Callisto Group. Ha estado perfeccionando sus habilidades de ingeniería social y de inteligencia de código abierto para engañar a los objetivos desde al menos 2017. Sus objetivos han variado desde la defensa y las organizaciones gubernamentales hasta las ONG y los políticos. Los ataques del grupo han aumentado, especialmente después de la invasión de Rusia a Ucrania, incluso expandiéndose a sitios industriales de defensa y del Departamento de Energía de los Estados Unidos.
El Departamento de Estado de los Estados Unidos incluso ha abofeteado a las sanciones a un par de operativos de ColdRiver (uno, según los informes, un oficial de FSB). Actualmente, las autoridades estadounidenses están ofreciendo una considerable recompensa de $ 10 millones por cualquier consejo que pueda ayudar a localizar a otros miembros. Esto refleja el nivel de seriedad con el que Estados Unidos está tomando al grupo.
Fuente: Android Headlines