Google виявила новий російський шпигунський вірус LostKeys
У травні 2025 року фахівці Google Threat Intelligence Group (GTIG) виявили новий шпигунський вірус під назвою LostKeys, який пов’язують із російською хакерською групою ColdRiver, також відомою як Star Blizzard, UNC4057 або Callisto. Ця група має тісні зв’язки з Федеральною службою безпеки Росії (ФСБ) і відома своїми кіберрозвідками проти західних урядів, неурядових організацій та журналістів.
Що таке LostKeys?
LostKeys — це новий тип шпигунського програмного забезпечення, розроблений для крадіжки файлів з жорстко заданих каталогів та розширень, а також для збору системної інформації та списку активних процесів на зараженому пристрої. Зібрані дані передаються зловмисникам для подальшого аналізу та використання.
Як працює атака?
Атака починається з соціальної інженерії: користувача перенаправляють на фальшивий вебсайт із підробленою CAPTCHA. Після "перевірки" користувачеві пропонується скопіювати та виконати команду PowerShell, яка завантажує та запускає наступні етапи шкідливого коду. У кінцевому підсумку запускається скрипт Visual Basic (VBS), який виконує основні функції шпигунства.
Цілі атак
З початку 2025 року LostKeys використовувався в атаках проти:
- чинних та колишніх радників західних урядів і військових структур;
- журналістів, аналітичних центрів та неурядових організацій;
- осіб, пов’язаних з Україною.
Ці атаки є частиною ширшої кампанії ColdRiver, спрямованої на збір розвідувальної інформації для підтримки стратегічних інтересів Росії.
Рекомендації з безпеки
Google рекомендує потенційним цілям атак:
- використовувати програму Advanced Protection Program для додаткового захисту облікових записів;
- увімкнути розширений захист у браузері Chrome;
- регулярно оновлювати всі пристрої та програмне забезпечення;
- бути обережними з підозрілими електронними листами та вебсайтами.
Ці заходи допоможуть зменшити ризик зараження шкідливим програмним забезпеченням, таким як LostKeys.
