COLDRIVER Triển Khai Phần Mềm Độc Hại LOSTKEYS Mới Để Nhắm Vào Các Thực Thể Phương Tây
Phần mềm độc hại LOSTKEYS, được sử dụng bởi nhóm đe dọa COLDRIVER, được thiết kế để đánh cắp các tệp từ các phần mở rộng và thư mục cụ thể, theo báo cáo của Google.
Nhóm đe dọa COLDRIVER đã nâng cao chiến thuật của mình bằng cách triển khai phần mềm độc hại mới có tên LOSTKEYS để đánh cắp tài liệu từ các mục tiêu phương Tây. Một báo cáo gần đây đã nêu bật sự chuyển đổi của nhóm từ việc câu cá thông tin đăng nhập đơn giản sang các cuộc tấn công mạng tiên tiến hơn.
Việc triển khai LOSTKEYS liên quan đến một quy trình nhiều bước. Nó bắt đầu với một trang web lừa đảo có CAPTCHA giả mạo, sau đó là việc tải xuống một kịch bản PowerShell vào bảng nhớ tạm của nạn nhân. Phần mềm độc hại sau đó sử dụng các kỹ thuật né tránh trước khi cuối cùng cài đặt chính nó vào hệ thống của mục tiêu.
LOSTKEYS được thiết kế để đánh cắp các tệp từ các phần mở rộng và thư mục được chỉ định, và nó cũng có khả năng truyền thông tin hệ thống và chi tiết các quá trình đang chạy trở lại cho COLDRIVER. Địa chỉ IP liên quan đến cuộc tấn công này được xác định là “165.227.148[.]68”.
Các biện pháp chủ động đã được thực hiện để đối phó với tác động tiềm tàng của LOSTKEYS, bao gồm việc thêm các trang web độc hại vào tính năng 'Duyệt Web An Toàn'.
COLDRIVER, được báo cáo là được hỗ trợ bởi các thực thể Nga, có lịch sử nhắm vào các nhân vật nổi bật của phương Tây như các cựu nhà ngoại giao và nhà báo. Vào đầu năm 2024, nhóm này đã khởi động một cuộc tấn công sử dụng một phần mềm độc hại khác có tên 'Spica', có khả năng thực thi nhiều lệnh và quản lý việc chuyển tệp.
Theo Cointelegraph
Tin khác
