Malware LOSTKEYS

COLDRIVER, el actor de amenazas vinculado a Rusia, ha ampliado sus herramientas, yendo más allá de las campañas tradicionales de phishing de credenciales. Recientemente, se detectó al grupo implementando una nueva cepa de malware llamada LOSTKEYS en una campaña de espionaje dirigida. Este es el segundo malware personalizado vinculado a COLDRIVER, después de SPICA . COLDRIVER, también rastreado bajo alias como Callisto, Star Blizzard y UNC4057, es conocido por el robo de credenciales, la exfiltración de correo electrónico y la recolección de listas de contactos. Ahora, su estrategia incluye la implementación selectiva de malware para acceder a archivos y datos del sistema.

LOSTKEYS al descubierto: una amenaza sigilosa y específica

LOSTKEYS está diseñado para extraer sigilosamente información confidencial, incluyendo archivos de directorios específicos, procesos en ejecución y detalles del sistema. Se ha implementado en operaciones durante enero, marzo y abril de 2025. Entre sus objetivos se incluyen asesores actuales y anteriores de gobiernos y ejércitos occidentales, periodistas, centros de investigación, ONG y personas asociadas con Ucrania. Cabe destacar que el malware parece implementarse de forma selectiva, lo que enfatiza su uso en ataques altamente selectivos.

Ingeniería social 2.0: La conexión ClickFix

La cadena de infección comienza con un CAPTCHA falso alojado en un sitio web falso. Se engaña a las víctimas para que abran el cuadro de diálogo Ejecutar de Windows y peguen un comando de PowerShell copiado en su portapapeles, un método conocido como ClickFix. Este comando obtiene un descargador de segunda etapa desde un servidor remoto, que a su vez envía un script de PowerShell de tercera etapa. Este script ejecuta LOSTKEYS en el host mientras evade la detección en entornos virtuales.

¿Malware reutilizado o pruebas tempranas?

Investigadores de seguridad descubrieron muestras de LOSTKEYS que datan de diciembre de 2023 y que imitaban binarios de Maltego, una plataforma de investigación de código abierto. Aún no está claro si se trataba de versiones de prueba iniciales o de usos no relacionados del malware antes de su despliegue confirmado en 2025.

La adopción más amplia y el alcance dañino de ClickFix

La técnica ClickFix está ganando popularidad entre diversos actores de amenazas para la distribución de malware. Dos ejemplos notables incluyen:

• Troyano bancario Lampion : Se distribuye mediante correos electrónicos de phishing con archivos adjuntos ZIP. Contiene un archivo HTML que redirige a las víctimas a una página CAPTCHA falsa con instrucciones de ClickFix, iniciando una infección multietapa dirigida a sectores de habla portuguesa como el gobierno, las finanzas y el transporte.
• Atomic Stealer para macOS : En combinación con una táctica llamada EtherHiding, los contratos de Binance Smart Chain (BSC) ocultan cargas útiles. Las víctimas que hacen clic en "No soy un robot" activan sin saberlo un comando Base64, que se ejecuta en la Terminal para descargar y ejecutar un binario Mach-O firmado, confirmado como Atomic Stealer.

MacReaper: Una campaña generalizada con explotación legítima de sitios web

Investigaciones posteriores vincularon la campaña Atomic Stealer con un ataque a gran escala denominado MacReaper. Cerca de 2800 sitios web legítimos fueron comprometidos para mostrar solicitudes de CAPTCHA falsas. Estos ataques utilizaron JavaScript ofuscado, iframes de pantalla completa e infraestructura basada en blockchain para evadir la detección y maximizar las infecciones.