El actor de amenaza vinculado a Rusia conocido como Fría se ha observado distribuyendo un nuevo malware llamado Kilómetros perdidos Como parte de una campaña centrada en el espionaje utilizando señuelos de ingeniería social similar a ClickFix.
«Lostkeys es capaz de robar archivos de una lista codificada de extensiones y directorios, junto con el envío de información del sistema y procesos de ejecución al atacante», dijo el Grupo de Inteligencia de Amenazos de Google (GTIG).
El malware, dijo la compañía, se observó en enero, marzo y abril de 2025 en ataques contra asesores actuales y anteriores a gobiernos y militares occidentales, así como periodistas, think tanks y ONG. Además, las personas conectadas a Ucrania también han sido señaladas.
LostKeys es el segundo malware personalizado atribuido a ColdRiver después de Spica, marcando una desviación continua de las campañas de phishing de credenciales por las que el actor de amenaza ha sido conocido. El grupo de piratería también se rastrea bajo los nombres Callisto, Star Blizzard y UNC4057.
«Son conocidos por robar credenciales y después de obtener acceso a la cuenta de un objetivo, exfiltran los correos electrónicos y roban listas de contactos de la cuenta comprometida», dijo el investigador de seguridad Wesley Shields. «En casos seleccionados, ColdRiver también entrega malware a dispositivos de destino y puede intentar acceder a archivos en el sistema».
El último conjunto de ataques comienza con un sitio web de señuelo que contiene un aviso de verificación Captcha falso, donde se instruye a las víctimas para abrir el diálogo de Windows Run y pegar un comando PowerShell copiado en el portapapeles, una técnica de ingeniería social ampliamente popular llamada ClickFix.
El comando PowerShell está diseñado para descargar y ejecutar la siguiente carga útil desde un servidor remoto («165.227.148 (.) 68»), que actúa como un descargador para una tercera etapa pero no antes de realizar cheques en un probable esfuerzo para evadir la ejecución en máquinas virtuales.
Una blob codificada por Base64, la carga útil de la tercera etapa se decodifica en un script de PowerShell que es responsable de ejecutar Keys LostKeys en el host comprometido, lo que permite al actor de amenaza cosechar información del sistema, ejecutar procesos y archivos de una lista de extensiones y directorios codificados.
Al igual que en el caso de Spica, se ha evaluado que el malware solo se implementa selectivamente, indicativo de la naturaleza altamente dirigida de estos ataques.
Google también dijo que descubrió artefactos adicionales de LostKeys que se remontan a diciembre de 2023 que se disfrazaban de binarios relacionados con la plataforma de investigación de código abierto de Maltego. No se sabe si estas muestras tienen algún vínculo con ColdRiver, o si el malware fue reutilizado por los actores de amenaza a partir de enero de 2025.
La adopción de ClickFix continúa creciendo
El desarrollo se produce cuando ClickFix continúa siendo adoptado constantemente por múltiples actores de amenazas para distribuir una amplia gama de familias de malware, incluido un troyano bancario llamado Lampion y Atomic Stealer.
Los ataques de propagación de Lampion, por unidad de Palo Alto Networks 42, usan correos electrónicos de phishing con archivos adjuntos de archivos postales como señuelos. Presente dentro del archivo ZIP hay un archivo HTML que redirige al destinatario del mensaje a una página de destino falsa con instrucciones de clickFix para iniciar el proceso de infección de varias etapas.
«Otro aspecto interesante de la cadena de infecciones de Lampion es que se divide en varias etapas no consecutivas, ejecutadas como procesos separados», dijo la Unidad 42. «Esta ejecución dispersa complica la detección, ya que el flujo de ataque no forma un árbol de proceso fácilmente identificable. En cambio, comprende una cadena compleja de eventos individuales, algunos de los cuales podrían parecer benignos de forma aislada».
La campaña maliciosa se dirigió a individuos y organizaciones de habla portuguesa en varios sectores, incluidos el gobierno, las finanzas y el transporte, agregó la compañía.
En los últimos meses, la estrategia ClickFix también se ha combinado con otra táctica furtiva llamada Etherhiding, que implica el uso de contratos de cadena inteligente (BSC) de Binance para ocultar la carga útil de la próxima etapa, lo que finalmente conduce a la entrega de un robador de información de MacOS llamado Atomic Stealer.
«Haga clic en ‘No soy un robot’ desencadena un contrato inteligente de binance, utilizando una técnica de ethiding, para entregar un comando codificado Base64 al portapapeles, que los usuarios deben ejecutarse en los accesos directos específicos de MacOS (⌘ + espacio, ⌘ + v)», dijo un investigador independiente que dice el alias Badbyte. «Este comando descarga un script que recupera y ejecuta un binario Mach-O firmado, confirmado como Atomic Stealer».
Una investigación adicional ha encontrado que la campaña probablemente ha comprometido alrededor de 2,800 sitios web legítimos para servir indicaciones falsas de Captcha. El ataque de abrevadero a gran escala ha sido llamado en código MacReaper por el investigador.
«El ataque aprovecha a JavaScript offush, tres iframes de pantalla completa e infraestructura de comando basada en blockchain para maximizar las infecciones», agregó el investigador.
