Компания Google сообщила (через Android Headlines) о появлении нового российского шпионского ПО под названием LostKeys, которое используется хакерской группой ColdRiver, связанной с ФСБ России. Это ПО предназначено для кражи файлов и системных данных у западных организаций.

Согласно данным группы Google Threat Intelligence Group (GTIG), LostKeys применяется в целевых атаках ClickFix, основанных на социальной инженерии и начинающихся с поддельной CAPTCHA. Жертв заставляют запускать вредоносные скрипты PowerShell, которые открывают путь для загрузки и выполнения дополнительного вредоносного ПО. Основная цель - установка LostKeys, которое функционирует как цифровой пылесос, извлекая файлы, каталоги и системную информацию. Хакеры также используют другое вредоносное ПО, включая SPICA, для получения документов.

Группа ColdRiver активна с 2017 года и известна также под названиями Star Blizzard и Callisto Group. Сообщается, что в последние годы она активизировалась, особенно после начала вторжения России в Украину. Группа специализируется на кибершпионаже, атакуя государственные и оборонные учреждения, аналитические центры, политиков, журналистов и НПО.

США уже ввели санкции против отдельных членов группы и объявили награду в размере 10 миллионов долларов за информацию, которая поможет их задержать.

Эксперты Google подчеркивают необходимость усиления мер кибербезопасности, особенно для организаций, которые могут стать потенциальными целями атак ColdRiver. Они рекомендуют использовать расширенную защиту Google, а также регулярно обновлять системы безопасности для предотвращения подобных угроз.