Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware LOSTKEYS-Malware

LOSTKEYS-Malware

Von Mezo in Malware
Übersetzen Sie in:

Der mit Russland verbundene Bedrohungsakteur COLDRIVER hat sein Toolkit erweitert und geht nun über traditionelle Phishing-Kampagnen für Anmeldeinformationen hinaus. Kürzlich wurde die Gruppe dabei beobachtet, wie sie in einer gezielten Spionagekampagne eine neue Malware-Variante namens LOSTKEYS einsetzte. Nach SPICA ist dies bereits die zweite maßgeschneiderte Malware, die mit COLDRIVER in Verbindung gebracht wird. COLDRIVER, das auch unter Decknamen wie Callisto, Star Blizzard und UNC4057 verfolgt wird, ist berüchtigt für den Diebstahl von Anmeldeinformationen, die Exfiltration von E-Mails und das Abgreifen von Kontaktlisten. Zu seinen Strategien gehört nun auch der selektive Einsatz von Malware für den Zugriff auf Systemdateien und -daten.

LOSTKEYS enthüllt: Eine heimliche und gezielte Bedrohung

LOSTKEYS ist darauf ausgelegt, vertrauliche Informationen, darunter Dateien aus bestimmten Verzeichnissen, laufende Prozesse und Systemdetails, heimlich abzugreifen. Die Malware wurde im Januar, März und April 2025 eingesetzt. Zu den Zielen zählen aktuelle und ehemalige Berater westlicher Regierungen und Militärs, Journalisten, Think Tanks, NGOs und Personen mit Verbindungen zur Ukraine. Bemerkenswert ist der selektive Einsatz der Malware, was ihren Einsatz bei gezielten Angriffen unterstreicht.

Social Engineering 2.0: Die ClickFix-Verbindung

Die Infektionskette beginnt mit einer gefälschten CAPTCHA-Eingabeaufforderung auf einer betrügerischen Website. Die Opfer werden dazu verleitet, das Windows-Ausführen-Dialogfeld zu öffnen und einen kopierten PowerShell-Befehl in die Zwischenablage einzufügen – eine Methode namens ClickFix. Dieser Befehl ruft einen Second-Stage-Downloader von einem Remote-Server ab, der dann ein Third-Stage-PowerShell-Skript ausliefert. Dieses Skript führt LOSTKEYS auf dem Host aus und entgeht so der Erkennung in virtuellen Umgebungen.

Wiederverwendete Malware oder frühzeitige Tests?

Sicherheitsforscher entdeckten LOSTKEYS-Samples aus dem Dezember 2023, die Binärdateien von Maltego, einer Open-Source-Untersuchungsplattform, imitierten. Es ist noch unklar, ob es sich dabei um frühe Testversionen oder unabhängige Anwendungen der Malware vor ihrer bestätigten Verbreitung im Jahr 2025 handelte.

Die breitere Akzeptanz und die schädliche Reichweite von ClickFix

Die ClickFix-Technik erfreut sich bei verschiedenen Bedrohungsakteuren zunehmender Beliebtheit zur Verbreitung von Malware. Zwei bemerkenswerte Beispiele sind:

  • Lampion Banking-Trojaner : Wird über Phishing-E-Mails mit ZIP-Anhängen verbreitet. Darin enthält eine HTML-Datei eine Weiterleitung auf eine gefälschte CAPTCHA-Seite mit ClickFix-Anweisungen. Dadurch wird eine mehrstufige Infektion eingeleitet, die auf portugiesischsprachige Sektoren wie Regierung, Finanzen und Transport abzielt.
  • Atomic Stealer für macOS : Gepaart mit einer Taktik namens EtherHiding, bei der Binance Smart Chain (BSC)-Verträge Nutzdaten verbergen. Opfer, die auf „Ich bin kein Roboter“ klicken, lösen unwissentlich einen Base64-Befehl aus, der dann im Terminal ausgeführt wird, um eine signierte Mach-O-Binärdatei herunterzuladen und auszuführen, die als Atomic Stealer bestätigt wurde.

    • MacReaper: Eine groß angelegte Kampagne mit legitimer Website-Ausnutzung

    Weitere Untersuchungen haben die Atomic-Stealer-Kampagne mit einem groß angelegten Watering-Hole-Angriff namens MacReaper in Verbindung gebracht. Fast 2.800 legitime Websites wurden manipuliert, um gefälschte CAPTCHA-Eingabeaufforderungen anzuzeigen. Diese Angriffe nutzten verschleiertes JavaScript, Vollbild-Iframes und eine Blockchain-basierte Infrastruktur, um der Erkennung zu entgehen und die Infektionsrate zu maximieren.

    Im Trend

    Am häufigsten gesehen

    Wird geladen...