Компания Google сообщила (через Android Headlines) о выявлении нового российского шпионского программного обеспечения, известного как LostKeys, используемого хакерской группой ColdRiver, тесно связанной с ФСБ России. Это программное обеспечение предназначено для кражи файлов и системных данных у западных организаций.
Согласно данным Google Threat Intelligence Group (GTIG), LostKeys применяется в специфических атаках, известных как ClickFix, которые основываются на методах социальной инженерии и начинаются с фальшивой капчи. Жертвы обманываются и запускают вредоносные скрипты PowerShell, что открывает путь для загрузки и выполнения дополнительных угроз. Основная цель заключается в установке LostKeys, который функционирует как цифровой пылесос, извлекая файлы, каталоги и системную информацию. Хакеры также используют другие вредоносные программы, такие как SPICA, для получения документов.
Группа ColdRiver активно действует с 2017 года и известна под различными названиями, такими как Star Blizzard и Callisto Group. Последние годы она значительно активизировалась, особенно с началом российского вторжения в Украину. Группа специализируется на кибершпионаже, нацеливаясь на государственные и оборонные учреждения, аналитические центры, политиков, журналистов и НПО.
США уже ввели санкции против отдельных членов этой группы и объявили награду в размере 10 миллионов долларов за информацию, которая поможет их задержанию.
Специалисты Google подчеркивают важность усиления кибербезопасности, особенно для организаций, которые могут стать потенциальными жертвами атак ColdRiver. Они рекомендуют использовать расширенную защиту Google, а также регулярно обновлять системы безопасности для предотвращения подобных угроз.
