Rusové zkusili zdokonalit virus, který krade data ze zařízení. Bezpečnostní analytici ho ale prokoukli

Ruská hackerská skupina COLDRIVER výrazně zrychlila při modernizaci viru, který chtěla nastavit tak, aby kradl data ze zařízení vybraných obětí. Redakce Mobify však zaznamenala, že bezpečnostní analytici Googlu tuto snahu už podrobně rozebrali a popsali, jak nové varianty malwaru fungují a koho ohrožují.

Ruští hackeři pracovali s tím, co už měli k dispozici

Od května roku 2025 sledují analytici vývoj nové generace malwaru, který lze připsat na konto ruské hackerské skupině COLDRIVER. Podle informací Google Threat Intelligence Group (GTIG) se tým velmi rychle adaptoval a přepracoval to, co měl k dispozici, jen několik dní po zveřejnění malwaru zvaného LOSTKEYS.

Nové odnože malwaru nesou kódová označení NOROBOT, YESROBOT a MAYBEROBOT. Jsou propojeny přes distribuční řetězec, který začíná HTML návnadou ClickFix pojmenovanou COLDCOPY. Postupně pak spouští další komponenty malwaru, přičemž každý krok je navržený tak, aby co nejvíc minimalizoval šanci ho odhalit.

Jakým způsobem útok probíhá a funguje

Prvním krokem je právě ClickFix. Tato návnada přesvědčí uživatele k otevření dialogového okna CAPTCHA, čímž se spustí DLL soubor NOROBOT. Ten dále inicializuje ostatní komponenty malwaru, vysvětluje theHackerNews.

Původně byla v některých útocích použita verze YESROBOT, metoda umožňující obejít běžnou autentizaci, tzv. backdoor, vysvětluje Wikipedia, napsaný v Pythonu, který umožňuje stahování příkazů z pevně zakódovaného serveru Command-and-Control (C2).

YESROBOT byl ale nejspíš jen dočasným mechanismem, protože přítomnost Pythonu 3.8 na hostitelském systému výrazně zvyšuje šanci, že bude malware odhalen. Následně přichází MAYBEROBOT, flexibilnější implantát běžící na PowerShellu.

Ten umožňuje stahování a spouštění souborů z určené URL, provádění příkazů přes cmd.exe a spouštění skriptů v PowerShellu. Tento nástroj je už navržen pro dlouhodobé nasazení a cílení na důležité cíle, které mohou být napadeny kupříkladu phishingem nebo cíleným spear-phishingem (kampaň zaměřená na konkrétní osobu či skupinu, uvádí Správa sítě).

Odhalení a reakce bezpečnostních expertů

Google GTIG potvrdil, že od zveřejnění malwaru LOSTKEYS nebyl odhalen žádný přímý útok jeho verzí, což naznačuje, že nová vlna útoků byla připravena cíleně a rychle. Vývoj NOROBOTu dle nich zahrnoval postupné zjednodušení funkcí, aby jeho nasazení bylo snazší, a následné obnovení pomocí rozdělení kryptografických klíčů.

Nizozemské orgány (Openbaar Ministerie, OM) zároveň odhalily, že tři mladí muži poskytovali služby zahraniční vládě. Jeden z nich byl v kontaktu s COLDRIVERem a měl mapovat Wi-Fi sítě v Haagu, přičemž získaná data byla prodávána za poplatek a mohla být využita pro digitální špionáž. Dva z podezřelých byli zadrženi, třetí je v domácím vězení.

I když jsou útoky zaměřeny na vysoce stavěné cíle, jejich metodika by mohla být snadno přizpůsobena pro širší škálu obětí. To znamená, že nejen na politické poradce, ale i menší organizace a jednotlivce, pokud dojde k neopatrnému kliknutí na zavádějící odkazy či instalaci aplikací z neověřených zdrojů. Proto pamatujte na následující:

• Nepodceňujte phishingové e-maily a falešné výzvy k ověření CAPTCHA – často jsou branou k instalaci malwaru
• Používejte dvoufaktorové ověřování (2FA) – pokud je cílem získat přihlašovací údaje, 2FA výrazně snižuje úspěch útočníků
• Aktualizujte systémy a software – každý krok ve vývojové infrastruktuře malwaru se snaží obejít známé slabiny
• Kontrolujte zdroje instalace softwaru – malware COLDRIVERu se šíří přes legitimně vypadající HTML soubory a aplikace

Redakce Mobify doporučuje, aby se i menší firmy a jednotlivci seznamovali s podobnými hrozbami, protože moderní škodlivý software rychle přechází mezi cíli a jeho schopnosti se dynamicky rozšiřují.