Logiciel malveillant LOSTKEYS

COLDRIVER, un acteur malveillant lié à la Russie, a élargi sa panoplie d'outils, allant au-delà des campagnes traditionnelles de phishing d'identifiants. Récemment, le groupe a été repéré en train de déployer une nouvelle souche de malware appelée LOSTKEYS dans le cadre d'une campagne d'espionnage ciblée. Il s'agit du deuxième malware personnalisé lié à COLDRIVER, après SPICA . Également suivi sous des pseudonymes tels que Callisto, Star Blizzard et UNC4057, COLDRIVER est connu pour ses vols d'identifiants, son exfiltration d'e-mails et son piratage de listes de contacts. Son plan d'action inclut désormais le déploiement sélectif de malwares pour accéder aux fichiers et données système.

LOSTKEYS dévoilé : une menace furtive et ciblée

LOSTKEYS est conçu pour exfiltrer furtivement des informations sensibles, notamment des fichiers provenant de répertoires spécifiques, des processus en cours d'exécution et des informations système. Il a été déployé en janvier, mars et avril 2025. Parmi ses cibles figurent des conseillers, anciens et actuels, de gouvernements et d'armées occidentaux, des journalistes, des groupes de réflexion, des ONG et des individus liés à l'Ukraine. Il est à noter que le malware semble être déployé de manière sélective, ce qui accentue son utilisation dans des attaques très ciblées.

Ingénierie sociale 2.0 : la connexion ClickFix

La chaîne d'infection commence par une fausse invite CAPTCHA hébergée sur un site web leurre. Les victimes sont amenées à ouvrir la boîte de dialogue Exécuter de Windows et à coller une commande PowerShell copiée dans leur presse-papiers – une méthode appelée ClickFix. Cette commande récupère un téléchargeur de deuxième étape depuis un serveur distant, qui délivre ensuite un script PowerShell de troisième étape. Ce script exécute LOSTKEYS sur l'hôte tout en échappant à la détection dans les environnements virtuels.

Logiciel malveillant réutilisé ou tests précoces ?

Des chercheurs en sécurité ont découvert des échantillons de LOSTKEYS datant de décembre 2023, imitant les binaires de Maltego, une plateforme d'investigation open source. On ignore encore s'il s'agissait de versions de test préliminaires ou d'utilisations sans rapport avec le malware avant son déploiement confirmé en 2025.

L’adoption plus large et la portée néfaste de ClickFix

La technique ClickFix gagne en popularité auprès de divers acteurs malveillants pour la diffusion de logiciels malveillants. Voici deux exemples notables :

• Cheval de Troie bancaire Lampion : diffusé via des e-mails de phishing contenant des pièces jointes ZIP. Un fichier HTML redirige les victimes vers une fausse page CAPTCHA contenant des instructions ClickFix, déclenchant ainsi une infection en plusieurs étapes ciblant les secteurs lusophones tels que le gouvernement, la finance et les transports.
• Voleur atomique pour macOS : associé à une tactique appelée « EtherHiding », où les contrats de la Binance Smart Chain (BSC) masquent des charges utiles. Les victimes qui cliquent sur « Je ne suis pas un robot » déclenchent sans le savoir une commande Base64, qui est ensuite exécutée dans le Terminal pour télécharger et exécuter un binaire Mach-O signé, confirmé comme Voleur atomique.

MacReaper : une campagne à grande échelle avec exploitation légitime de sites Web

Une enquête plus approfondie a établi un lien entre la campagne Atomic Stealer et une attaque de type « watering hole » à grande échelle baptisée MacReaper. Près de 2 800 sites web légitimes ont été compromis pour afficher de fausses invites CAPTCHA. Ces attaques utilisaient du JavaScript obscurci, des iframes plein écran et une infrastructure basée sur la blockchain pour échapper à la détection et maximiser les infections.