Хакеры из России используют вирус LostKeys для кражи данных политиков и активистов

11 мая 2025 г., 22:33

585     0

Хакеры из России используют вирус LostKeys для кражи данных политиков и активистов

Предупреждение Google о хакерах РФ появилось в блоге Группы разведки угроз компании.

Киберспециалисты написали, что речь идет о вредоносном коде, созданном российской хакерской группировкой COLDRIVER, которая также скрывается за именами UNC4057, Star Blizzard и Callisto. Когда вирус заражает систему, то в самом легком случае он получает доступ к личным данным пользователя — к его контактам. Кроме того, были случаи, когда коды россиян получали доступ к файловой системе, объясняется в блоге. Случаи заражения обнаружили трижды в 2025 году: в январе, марте и апреле. Жертвами становились политики и чиновники стран-членов НАТО и Украины, сотрудники общественных организаций, бывшие работники разведки и дипломаты.

"Мы считаем, что основной целью операций COLDRIVER является сбор разведывательных данных в поддержку стратегических интересов России. В небольшом количестве случаев группу связывали с кампаниями по утечке информации, направленными против должностных лиц Великобритании и неправительственной организации", — говорится в блоге киберспециалистов.

Google предупредила, что цель COLDRIVER — получить доступ к контактам цели и к файлам на жестком диске.

В блоге Google подробно объясняется, как происходит заражение. Отмечается, что хакеры РФ при этом используют поддельные CAPTCHA, а куски вредоносного кода могут "делать вид", что они являются частями OSINT-программы для сбора данных Maltego.

Как происходит заражение вирусом LOSTKEYS:

1. человека перенаправляют на фальшивый сайт, на котором якобы размещено что-то полезное — файл, сервис, форма входа;
2. на сайте нужно пройти процедуру подтверждения безопасности — и для этого следует нажать на CAPTCHA;
3. в память системы загружается вредоносный код (то есть как будто имитируется команда Ctrl+C);
4. рядом с "капчей" пользователь видит инструкцию, что нужно делать дальше — следует вызвать командную строку через Win+R, далее — комбинация Ctrl+V и нажать Enter;
5. после этого запускается инструмент администрирования PowerShell, который выполняет вредоносный код, предостерегли специалисты Google.

Компания также объяснила, как защититься от вируса. Речь идет о людях, которые могут стать целями для российских хакеров. Для них предлагают три варианта защиты. Во-первых, зарегистрироваться в "Программе расширенной защиты". Во-вторых, включить улучшенный безопасный просмотр Google. В-третьих, обновить программы на устройствах.

Отметим, в сентябре 2024 года на портале Министерства юстиции США рассказали о российских хакерах, за "головы" которых обещают 10 млн долл. Министерство заявило, что речь идет о трех офицерах ГУР, которые устроили кибератаку на компьютеры правительства Украины за несколько дней до начала пошномасштабного конфликта в 2022 году.