російські хакери використовують підроблені CAPTCHA для шпигунства за високопосадовцями

Хакерське угруповання з рф, відоме як COLDRIVER, створило зловмисне програмне забезпечення LOSTKEYS. Воно використовує підроблені CAPTCHA для отримання доступу до секретних даних високопосадовців. Кібератаки нового типу націлені на дипломатичний корпус, держслужбовців та громадські організації.

Згідно з даними Google Threat Intelligence Group (GTIG), група хакерів COLDRIVER, також відома як UNC4057 та Star Blizzard, створила шкідливе програмне забезпечення LOSTKEYS. Атака стартує з підробленої CAPTCHA на фішинговому ресурсі, доступ до якого часто надсилається електронною поштою.

Користувач, намагаючись пройти верифікацію, отримує інструкцію з копіювання та вставки команди PowerShell у консоль Windows. Після виконання команди на пристрої починає працювати шкідлива програма. Вона вишукує файли певних форматів, викрадає облікові дані, електронні листи та контактну інформацію, після чого передає її зловмисникам.

Підкреслюється, що ці атаки спрямовані на посадовців, які мають доступ до конфіденційної інформації. Зокрема, мова про представників НАТО, журналістів, консультантів урядових структур та неурядових організацій. Окрема увага приділяється особам, пов’язаним з Україною, що відповідає стратегічним цілям Російської Федерації. Загроза від COLDRIVER відома вже певний час: угруповання активно атакує державні структури, громадські організації та журналістів. Попередні спроби передбачали використання легітимних інструментів, як-от Maltego, для маскування шкідливих компонентів. Останні кампанії було зафіксовано у квітні 2025 року, проте перші зразки відносяться ще до грудня 2023 року.

Поява LOSTKEYS та застосування фейкових CAPTCHA вказує на новий етап у методах соціальної інженерії, що застосовуються російськими хакерами. Своєчасне виявлення та блокування доменів, що розповсюджують шкідливий код, стали ключовим етапом протидії цій загрозі.