🟨"COLDRIVER: Nuovo Malware LOSTKEYS per Rubare Documenti"
Giorno: 2025-05-07 | Ora: 21:17 Il gruppo di minaccia COLDRIVER ha sviluppato un nuovo malware chiamato LOSTKEYS per rubare documenti da obiettivi occidentali. Attraverso un processo in quattro fasi, il malware riesce a raccogliere informazioni di sistema e file. Google ha già implementato misure di sicurezza contro di esso. Nel 2025, i furti nel settore delle criptovalute hanno raggiunto un massimo storico, evidenziando vulnerabilità operative e attacchi ingegneristici. Tra questi, l'hack da 1,5 miliardi di dollari dell'exchange Bybit, attribuito al Lazarus Group.
Il gruppo di minaccia COLDRIVER sta utilizzando un nuovo malware per rubare documenti da obiettivi occidentali, secondo un rapporto del 7 maggio di Google Threat Intelligence. Questo malware, chiamato LOSTKEYS, segna l'evoluzione del gruppo da attacchi di phishing a tecniche più sofisticate. Il processo di installazione del malware avviene attraverso quattro fasi, che includono un "sito di attrazione" con un CAPTCHA falso, uno script PowerShell scaricato negli appunti dell'utente, un'evasione del dispositivo e il recupero del payload finale, culminando nell'installazione del malware stesso.
LOSTKEYS è in grado di rubare file da estensioni e directory, oltre a inviare informazioni di sistema e processi in esecuzione al gruppo COLDRIVER. Secondo quanto riportato da Google, gli attacchi provengono dall'indirizzo "165.227.148[.]68". La compagnia ha già adottato misure per mitigare i danni causati dal malware LOSTKEYS, incluso l'inserimento dei siti web malevoli nella funzione "Navigazione Sicura" della propria piattaforma.
COLDRIVER è un gruppo di minaccia sostenuto dalla Russia, noto per i tentativi di phishing contro obiettivi occidentali di alto profilo, come ex diplomatici e giornalisti. A gennaio 2024, ha avviato un attacco utilizzando un malware chiamato "Spica", capace di eseguire comandi shell arbitrari e scaricare o caricare software.
Nel 2025, i furti nel settore delle criptovalute hanno raggiunto un nuovo massimo storico, con perdite totali che hanno toccato i 2 miliardi di dollari solo nel primo trimestre, superando tutte le perdite registrate nel 2024. Un rapporto della società di cybersecurity Hacken evidenzia che le vulnerabilità principali rimangono i difetti operativi e i controlli di accesso deboli, anche tra i principali attori centralizzati e decentralizzati. Gli aggressori stanno anche utilizzando sempre più tattiche di ingegneria sociale per guadagnare la fiducia delle vittime.
Tra le perdite del trimestre scorso si annovera l'hack da 1,5 miliardi di dollari dell'exchange di criptovalute Bybit, un attacco di febbraio attribuito al Lazarus Group.
