عوامل تهدید منتسب به روسیه با نام COLDRIVER (با نامهای Callisto، Star Blizzard، Seaborgium و UNC4057 نیز شناسایی میشود) به تازگی در قالب کمپین جاسوسی، بدافزار جدیدی تحت عنوان LOSTKEYS را با بهرهگیری از فریبهای مهندسی اجتماعی مشابه ClickFix توزیع میکند.
واحد اطلاعات تهدید گوگل (GTIG) اعلام کرد: LostKeys در موارد بسیار هدفمند و در قالب حملات مهندسی اجتماعی ClickFix مورد استفاده قرار گرفته است. جدیدترین مجموعه حملات با یک وبسایت ساختگی حاوی فرم تأیید جعلی CAPTCHA آغاز میشود، عوامل تهدید قربانیان را فریب میدهند تا اسکریپتهای مخرب پاورشل را اجرا کنند که منجر به دانلود و اجرای پیلودهای اضافی پاورشل روی دستگاه قربانی میشود که نهایتا به اجرای بدافزار سارق اطلاعات مبتنی بر VBScript موسوم به LostKeys میانجامد. به طور کلی، LOSTKEYS قادر به سرقت فایلها از فهرستی از افزونهها و دایرکتوریهای رمزگذاری شده است و همچنین اطلاعات سیستم و فرآیندهای در حال اجرا را برای مهاجم ارسال میکند. COLDRIVER بیشتر به سرقت اعتبارنامهها شناخته میشود و پس از دستیابی به حساب قربانی، اقدام به استخراج ایمیلها و سرقت فهرست مخاطبان میکند.
https://thehackernews.com/2025/05/russian-hackers-using-clickfix-fake.html
