Компанія Google повідомила (через Android Headlines) про виявлення нового російського шпигунського програмного забезпечення, відомого як LostKeys, що використовується хакерською групою ColdRiver, тісно пов'язаною з ФСБ Росії. Це програмне забезпечення призначене для крадіжки файлів та системних даних у західних організаціях.
Згідно з даними Google Threat Intelligence Group (GTIG), LostKeys використовується в специфічних атаках, відомих як ClickFix, які ґрунтуються на методах соціальної інженерії і починаються з фальшивої капчі. Жертви піддаються обману і запускають шкідливі скрипти PowerShell, що відкриває шлях для завантаження та виконання додаткових загрозливих програм. Основна мета полягає в установці LostKeys, що функціонує як цифровий пилосос, вилучаючи файли, каталоги та системну інформацію. Хакери також використовують інші шкідливі програми, такі як SPICA, для отримання документів.
Група ColdRiver активно діє з 2017 року і відома під різними назвами, такими як Star Blizzard і Callisto Group. Останніми роками вона значно активізувалася, особливо з початку російського вторгнення в Україну. Група спеціалізується на кібершпигунстві, націлюючись на урядові та оборонні установи, аналітичні центри, політиків, журналістів і неурядові організації.
Сполучені Штати вже запровадили санкції проти окремих членів цієї групи та оголосили винагороду в розмірі $10 мільйонів за інформацію, яка допоможе їх затримати.
Експерти Google підкреслюють важливість посилення кібербезпеки, особливо для організацій, які можуть стати потенційними жертвами атак ColdRiver. Вони радять використовувати розширений захист Google, а також регулярно оновлювати системи безпеки для запобігання подібним загрозам.
