COLDRIVER использует новое вредоносное ПО для кражи данных с западных целей

Согласно отчету Google Threat Intelligence от 7 мая, группа COLDRIVER использует новое вредоносное ПО для кражи документов с западных целей. Вредоносное ПО LOSTKEYS демонстрирует эволюцию группы от фишинга учетных данных до более сложных атак. Согласно отчету Google, новое вредоносное ПО устанавливается в четыре этапа. Процесс включает в себя «приманку» с поддельным CAPTCHA, скрипт PowerShell, загружаемый в буфер обмена пользователя, некоторое уклонение от устройства и извлечение окончательной полезной нагрузки. Наконец, вредоносное ПО устанавливается. Схема доставки полезной нагрузки LOSTKEYS. Источник: Google LOSTKEYS способен красть файлы из расширений и каталогов. Он также может отправлять системную информацию и запущенные процессы обратно в COLDRIVER. Адрес, с которого происходят части атаки, — «165.227.148[.]68», согласно Google. Компания заявляет, что уже предприняла шаги для смягчения любого ущерба, который может нанести вредоносное ПО LOSTKEYS, включая добавление вредоносных веб-сайтов в функцию «Безопасный просмотр» компании. В своем отчете Google утверждает, что COLDRIVER — это поддерживаемая Россией группа, которая обычно занимается попытками фишинга на высокопоставленных западных объектах, таких как бывшие дипломаты и журналисты. В январе 2024 года она начала атаку с помощью вредоносного ПО под названием «Spica», которое может выполнять произвольные команды оболочки и загружать или выгружать программное обеспечение. Потери от криптовзломов достигли исторического максимума в 2025 году В 2025 году количество криптовзломов резко возросло , и только за первый квартал общие потери достигли 2 миллиардов долларов, что превышает все потери, зафиксированные в 2024 году. Согласно отчету компании Hacken, занимающейся кибербезопасностью криптовалют, операционные недостатки и слабый контроль доступа остаются ключевыми уязвимостями — даже среди крупных централизованных и децентрализованных игроков. Злоумышленники также все чаще используют тактику социальной инженерии, чтобы завоевать доверие жертв. Убыткам прошлого квартала способствовал взлом криптовалютной биржи Bybit на $1,5 млрд . Сообщается, что февральская атака была организована Lazarus Group .