Компанія Google повідомила (через Android Headlines) про виявлення нового російського шпигунського програмного забезпечення під назвою LostKeys, яке використовує хакерська група ColdRiver, пов’язана з російським ФСБ. Це програмне забезпечення націлене на викрадення файлів та системних даних у західних організацій.

Згідно з даними Google Threat Intelligence Group (GTIG), LostKeys активно застосовується в специфічних атаках типу ClickFix, що грунтуються на соціальній інженерії з підробленими капчами. Жертв обманюють на запуск шкідливих скриптів PowerShell, що відкриває доступ для завантаження та виконання додаткових шкідливих програм. Основна мета — встановлення LostKeys, яке працює як цифровий пилосос, викачуючи файли, каталоги та системну інформацію. Зловмисники також використовують інші шкідливі програми, такі як SPICA, для отримання документів.

Група ColdRiver діє з 2017 року та відома під іншими назвами, такими як Star Blizzard і Callisto Group. Відомо, що вона активізувалася в останні роки, особливо після початку війни росії в Україні. Група спеціалізується на кібершпигунстві, націлюючись на урядові та оборонні установи, аналітичні центри, політиків, журналістів і неурядові організації.

США вже запровадили санкції проти окремих членів групи та оголосили винагороду в розмірі $10 мільйонів за інформацію, що допоможе їх затримати.

Фахівці Google підкреслюють важливість посилення кібербезпеки, особливо для організацій, які можуть стати потенційними жертвами атак ColdRiver. Вони рекомендують використовувати розширений захист Google і регулярно оновлювати системи безпеки для запобігання подібним загрозам.