Компания Google сообщила (через Android Headlines) о выявлении нового вредоносного ПО, известного как LostKeys, которое используется хакерской группой ColdRiver, связанной с российским ФСБ. Это программное обеспечение предназначено для кражи файлов и системных данных у западных организаций.

Согласно данным группы Google Threat Intelligence Group (GTIG), LostKeys применяется в целевых атаках типа ClickFix, которые основываются на социальной инженерии и начинаются с поддельной капчи. Жертв обманывают, заставляя запускать вредоносные PowerShell-скрипты, что открывает путь для загрузки и выполнения дополнительных вредоносных программ. Основная цель — установка LostKeys, которое функционирует как цифровой пылесос, извлекая файлы, каталоги и системную информацию. Хакеры также используют другие вредоносные программы, в том числе SPICA, для получения документов.

Группа ColdRiver действует с 2017 года и известна также под другими названиями, такими как Star Blizzard и Callisto Group. Сообщается, что в последние годы она активизировалась, особенно после начала вторжения России в Украину. Группа специализируется на кибершпионаже, атакуя государственные и оборонные учреждения, аналитические центры, политиков, журналистов и НПО.

США уже ввели санкции против отдельных членов группы и объявили вознаграждение в размере 10 миллионов долларов за информацию, которая поможет в их задержании.

Специалисты Google подчеркивают необходимость усиления мер кибербезопасности, особенно для организаций, которые могут стать потенциальными жертвами атак ColdRiver. Они рекомендуют использовать расширенные средства защиты Google и регулярно обновлять системы безопасности для предотвращения подобных угроз.