Росіяни запустили новий вірус у Google: чим він небезпечний
2 хвилин читання
Google Threat Intelligence Group знайшла нове шкідливе програмне забезпечення (ПЗ) під назвою LOSTKEYS, яке пов’язують із російською хакерською групою COLDRIVER, яка також відома як UNC4057, Star Blizzard і Callisto, повідомили в Google.
За допомогою цього шпигунського ПЗ росіяни крадуть файли, збирають системну інформацію і запускають процеси на заражених пристроях. LOSTKEYS зафіксували в атаках у січні, березні і квітні 2025 року.
Що відомо про COLDRIVER
Підписуйтеся на наші соцмережі
Читайте також:
Вік, у якому людина вперше вступає в статеві стосунки, може бути пов’язаний зі станом здоров’я та якістю життя у старшому віці. Такого висновку дійшли дослідники з Китаю після аналізу великої генетичної бази даних. Про це пише New York Post із посиланням на результати нового наукового дослідження.
- COLDRIVER відома своїми фішинговими кампаніями проти дипломатів, урядовців країн НАТО, журналістів і аналітичних центрів.
- В останніх атаках хакерська група націлилася на радників західних урядів, військових і представників України.
Як працює шпигунське ПЗ LOSTKEYS
-
1
Зараження пристрою починається з вебсторінки з фальшивою CAPTCHA. Після “перевірки” жертві пропонують вручну вставити й виконати скрипт PowerShell.
-
2
Другий етап перевіряє роздільну здатність екрана пристрою, щоби визначити, чи це віртуальна машина. Якщо ні — відбувається завантаження наступного етапу.
-
3
Третій етап завантажує два додаткових файли: скрипт-декодер (VBS) і зашифрований файл. З використанням унікальних ключів обидва файли розшифровуються, після чого на пристрій встановлюється основне шкідливе ПЗ — LOSTKEYS.
-
4
LOSTKEYS краде файли з вибраних папок, надсилає системну інформацію і дозволяє зловмиснику запускати програми на пристрої жертви.
Як захиститися від шпигунського ПЗ LOSTKEYS
- Зареєструватися у програмі розширеного захисту Google.
- Увімкнути розширений безпечний перегляд у Chrome.
- Постійно оновлювати операційні системи і браузери.
- Не виконувати вручну жодні команди PowerShell, запропоновані іншими.
Усі шкідливі домени, файли і вебсайти, пов’язані з LOSTKEYS, уже заблоковані Google Safe Browsing. Компанія розповсюдила показники компрометації (IOC) і правила виявлення (YARA), щоб допомогти іншим фахівцям з кібербезпеки ідентифікувати і знешкодити загрозу.