El grupo de amenazas COLDRIVER está utilizando un nuevo malware para robar documentos de objetivos occidentales, según un informe del 7 de mayo de Google Threat Intelligence. El malware, llamado LOSTKEYS, muestra la evolución del grupo desde el phishing de credenciales hacia ataques más sofisticados.
Según el informe de Google, el nuevo malware se instala en cuatro pasos. El proceso involucra un “sitio web de señuelo” con un CAPTCHA falso, un script de PowerShell descargado en el portapapeles del usuario, algunas tácticas de evasión de dispositivos y la recuperación de la carga final. Finalmente, el malware se instala.
LOSTKEYS es capaz de robar archivos de extensiones y directorios. También puede enviar información del sistema y procesos en ejecución de vuelta a COLDRIVER. La dirección desde la cual provienen las partes del ataque es “165.227.148[.]68” según Google.
La compañía dice que ya ha tomado medidas para mitigar cualquier daño que el malware LOSTKEYS pueda causar, incluyendo la adición de los sitios web maliciosos a la función de “Navegación Segura” de la compañía.
Según Google, COLDRIVER es un grupo de amenazas respaldado por Rusia que típicamente se dedica a intentos de phishing dirigidos a objetivos occidentales de alto perfil, como exdiplomáticos y periodistas. En enero de 2024, inició un ataque con un malware llamado “Spica,” que puede ejecutar comandos de shell arbitrarios y descargar o cargar software.
Pérdidas por hackeos cripto alcanzan un máximo histórico en 2025
Los hackeos cripto han aumentado en 2025, con pérdidas totales alcanzando los 2 mil millones de dólares solo en el primer trimestre — superando todas las pérdidas registradas en 2024.
Según un informe de la firma de ciberseguridad cripto Hacken, las fallas operativas y los controles de acceso débiles siguen siendo vulnerabilidades clave, incluso entre los principales actores centralizados y descentralizados. Los atacantes también están utilizando cada vez más tácticas de ingeniería social para ganarse la confianza de las víctimas.
Contribuyendo a las pérdidas del último trimestre estuvo el hackeo de 1.5 mil millones de dólares del exchange de criptomonedas Bybit. El ataque de febrero fue supuestamente orquestado por el Grupo Lazarus.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión