" Согласно отчету Google Threat Intelligence от 7 мая, группа COLDRIVER использует новое вредоносное ПО для кражи документов с западных целей. Вредоносное ПО LOSTKEYS демонстрирует эволюцию группы от фишинга учетных данных до более сложных атак.
Согласно отчету Google, новое вредоносное ПО устанавливается в четыре этапа. Процесс включает в себя «приманку» с поддельным CAPTCHA, скрипт PowerShell, загружаемый в буфер обмена пользователя, некоторое уклонение от устройства и извлечение окончательной полезной нагрузки. Наконец, вредоносное ПО устанавливается.
Схема доставки полезной нагрузки LOSTKEYS. Источник: Google
LOSTKEYS способен красть файлы из расширений и каталогов. Он также может отправлять системную информацию и запущенные процессы обратно в COLDRIVER. Адрес, с которого происходят части атаки, — «165.227.148[.]68», согласно Google.
Компания заявляет, что уже предприняла шаги для смягчения любого ущерба, который может нанести вредоносное ПО LOSTKEYS, включая добавление вредоносных веб-сайтов в функцию «Безопасный просмотр» компании.
В своем отчете Google утверждает, что COLDRIVER — это поддерживаемая Россией группа, которая обычно занимается попытками фишинга на высокопоставленных западных объектах, таких как бывшие дипломаты и журналисты. В январе 2024 года она начала атаку с помощью вредоносного ПО под названием «Spica», которое может выполнять произвольные команды оболочки и загружать или выгружать программное обеспечение.
Потери от криптовзломов достигли исторического максимума в 2025 году
В 2025 году количество криптовзломов резко возросло, и только за первый квартал общие потери достигли 2 миллиардов долларов, что превышает все потери, зафиксированные в 2024 году.
Согласно отчету компании Hacken, занимающейся кибербезопасностью криптовалют, операционные недостатки и слабый контроль доступа остаются ключевыми уязвимостями — даже среди крупных централизованных и децентрализованных игроков. Злоумышленники также все чаще используют тактику социальной инженерии, чтобы завоевать доверие жертв.
Убыткам прошлого квартала способствовал взлом криптовалютной биржи Bybit на $1,5 млрд. Сообщается, что февральская атака была организована Lazarus Group.
