Российская хакерская группа COLDRIVER распространяет вирус LOSTKEYS для получения доступа к контактам и файлам

Эксперты по кибербезопасности из компании Google выявили свежий вирус под названием LOSTKEYS, происхождение которого связано с Россией.

По меньшей мере, три раза был замечен вредоносный код, занимающийся кражей контактов и файлов у политических деятелей и активистов. Злоумышленники из России применяют поддельную "капчу" и симулируют работу программы для OSINT-анализа.

Предупреждение Google о хакерах РФ появилось в блоге Группы разведки угроз компании.

Киберспециалисты написали, что речь идет о вредоносном коде, созданном российской хакерской группировкой COLDRIVER, которая также скрывается за именами UNC4057, Star Blizzard и Callisto. Когда вирус заражает систему, то в самом легком случае он получает доступ к личным данным пользователя — к его контактам. Кроме того, были случаи, когда коды россиян получали доступ к файловой системе, объясняется в блоге. Случаи заражения обнаружили трижды в 2025 году: в январе, марте и апреле. Жертвами становились политики и чиновники стран-членов НАТО и Украины, сотрудники общественных организаций, бывшие работники разведки и дипломаты.

"Мы считаем, что основной целью операций COLDRIVER является сбор разведывательных данных в поддержку стратегических интересов России. В небольшом количестве случаев группу связывали с кампаниями по утечке информации, направленными против должностных лиц Великобритании и неправительственной организации", — говорится в блоге киберспециалистов.

Google предупредила, что цель COLDRIVER — получить доступ к контактам цели и к файлам на жестком диске.

Хакеры РФ — детали

В блоге Google подробно объясняется, как происходит заражение. Отмечается, что хакеры РФ при этом используют поддельные CAPTCHA, а куски вредоносного кода могут "делать вид", что они являются частями OSINT-программы для сбора данных Maltego.

Как происходит заражение вирусом LOSTKEYS:

1. человека перенаправляют на фальшивый сайт, на котором якобы размещено что-то полезное — файл, сервис, форма входа;
2. на сайте нужно пройти процедуру подтверждения безопасности — и для этого следует нажать на CAPTCHA;
3. в память системы загружается вредоносный код (то есть как будто имитируется команда Ctrl+C);
4. рядом с "капчей" пользователь видит инструкцию, что нужно делать дальше — следует вызвать командную строку через Win+R, далее — комбинация Ctrl+V и нажать Enter;
5. после этого запускается инструмент администрирования PowerShell, который выполняет вредоносный код, предостерегли специалисты Google.

Хакеры РФ — как происходит заражение вирусом LOSTKEYS

Фото: Google

Компания также объяснила, как защититься от вируса. Речь идет о людях, которые могут стать целями для российских хакеров. Для них предлагают три варианта защиты. Во-первых, зарегистрироваться в "Программе расширенной защиты". Во-вторых, включить улучшенный безопасный просмотр Google. В-третьих, обновить программы на устройствах.

Отметим, в сентябре 2024 года на портале Министерства юстиции США рассказали о российских хакерах, за "головы" которых обещают 10 млн долл. Министерство заявило, что речь идет о трех офицерах ГУР, которые устроили кибератаку на компьютеры правительства Украины за несколько дней до вторжения в 2022 году.