Компанія Google оприлюднила (через Android Headlines) інформацію про новий шкідливий програмний продукт під назвою LostKeys, який використовується хакерами з групи ColdRiver, пов’язаної з російськими спецслужбами. Це ПЗ призначене для крадіжки даних та файлів у західних організацій.

Згідно з інформацією від Google Threat Intelligence Group (GTIG), LostKeys застосовується в спеціальних атаках типу ClickFix, що базуються на маніпуляціях, починаючи з фальшивої капчі. Жертв вводять в оману, змушуючи запускати шкідливі PowerShell-скрипти, які відкривають доступ для завантаження та виконання додаткового шкідливого ПЗ. Основна мета — інсталяція LostKeys, яке функціонує як цифровий «пилосос», витягуючи файли, каталоги та системну інформацію. Зловмисники також користуються іншими шкідливими програмами, такими як SPICA, для отримання конфіденційних документів.

Група ColdRiver існує з 2017 року та відома також під назвами Star Blizzard і Callisto Group. В останні роки вона активізувалась, особливо після початку військових дій росії в Україні. Група спеціалізується на кібершпигунстві, націлюючись на урядові і оборонні установи, аналітичні центри, політиків, журналістів та неурядові організації.

США вже запровадили санкції проти певних членів групи та оголосили нагороду в розмірі 10 мільйонів доларів за будь-яку інформацію, яка допоможе в їх затриманні.

Фахівці Google підкреслюють важливість посилення заходів кібербезпеки, особливо для установ, які можуть стати потенційними мішенями атак ColdRiver. Вони радять використовувати розширені засоби захисту Google та регулярно оновлювати системи безпеки для запобігання подібним загрозам.