Компания Google обнаружила новое вредоносное программное обеспечение под названием LostKeys, используемое хакерской группой ColdRiver, имеющей связи с российским ФСБ. Это ПО предназначено для кражи информации у западных организаций.

Согласно данным Google Threat Intelligence Group (GTIG), LostKeys применяется в специализированных атаках типа ClickFix, основанных на социальной инженерии, которые начинаются с поддельной капчи. Жертвам обманом заставляют запускать вредоносные скрипты PowerShell, что открывает путь для загрузки и выполнения дополнительных вредоносных программ. Основная цель — установка LostKeys, которая функционирует как цифровой пылесос, извлекая файлы и системную информацию. Хакеры также используют другое вредоносное ПО, такое как SPICA, для получения документов.

Группа ColdRiver действует с 2017 года и известна под разными названиями, такими как Star Blizzard и Callisto Group. Сообщается, что в последние годы она активизировалась, особенно с началом вторжения России в Украину. Группа специализируется на кибершпионаже, атакуя государственные и оборонные учреждения, аналитические центры, политиков, журналистов и НПО.

США уже ввели санкции против отдельных членов группы и объявили вознаграждение в размере 10 миллионов долларов за информацию, которая поможет их задержать.

Специалисты Google подчеркивают необходимость усиления кибербезопасности, особенно для организаций, которые могут стать потенциальными жертвами атак ColdRiver. Они рекомендуют использовать расширенную защиту Google и регулярно обновлять системы безопасности для предотвращения подобных угроз.