Российские хакеры COLDRIVER также атакуют нас с помощью поддельных тестов CAPTCHA. Вот как выглядит атака в обход антивируса | #

Российские хакеры, спонсируемые государством, снова взялись за дело, и их последняя операция носит ироничное название. Группа COLDRIVER, также известная под псевдонимами UNC4057, Звездная метель а Каллистосоздал вредоносное ПО, маскирующееся под обычный тест CAPTCHA. Пока пользователь пытается доказать, что он не робот, он фактически пускает его прямо в систему.

Согласно отчету Группа анализа угроз Google (ГТИГ) это следующий шаг в серии сложных атак, которые группа осуществляет против активистов, некоммерческих организаций и политических советников по всему миру. После того, как в мае 2025 года была обнаружена предыдущая вредоносная программа LOSTKEYS, COLDRIVER смогла перенаправить атаку в течение пяти дней. Это говорит о том, что у него заранее было готово новое поколение вредоносного ПО.

Подпишитесь на Vosveteit.sk через Telegram и подпишитесь на получение новостей

OD LOSTKEYS K NOROBT

Новая атака запускается через поддельную страницу, на которой используется атака ClickFix, выдающая себя за проверку CAPTCHA. Пользователь видит текст «Проверьте, что вы не робот»но после нажатия вредоносная библиотека NOROBOT действительно будет работать. Активация происходит командой rundll32, которая это снижает вероятность того, что его обнаружит антивирус. Файл имеет характерное имя iamnotarobot.dll и экспортный атрибут humanCheck как ссылку на саму маску атаки.

Россияне нанесли серьезный удар по Украине с помощью вредоносного ПО SmokeLoader — Источник: AI, Pixabay (
Chickenonline), Редакция: Vosveteit.sk

Ранние версии NOROBOT загружали файлы с таких доменов, как Inspectguarantee.orgи содержал механизм многоуровневого шифрования, объединяющий ключи из нескольких частей системы. Эта процедура усложняет анализ, потому что без всех частей невозможно расшифровать окончательную вредоносную программу.

НОРОБОТ также создавал запланированные задачи в Windows, для автоматического запуска после перезагрузки и сохранения доступа хакера. В более поздних версиях группа также экспериментировала со сценариями входа в систему, которые защищали это вредоносное ПО. активируется, как только пользователь входит в систему. После установки NOROBOT обычно загружал второй компонент YESROBOT. Этот бэкдор был написан на Python и использовал HTTPS-связь с сервером управления. Они умели получать приказы, собирать данные и выполнить код непосредственно на скомпрометированном устройстве.

Не упускайте из виду

Как добавить виджет с последними новостями с сайтов на главный экран телефона?

Хотя YESROBOT работал, это было непрактично. Для этого требовалась полная установка Python 3.8 на компьютер жертвы. что увеличивало риск обнаружения. Именно поэтому COLDRIVER быстро заменил его на более эффективную версию под названием MAYBEROBOT. MAYBEROBOT написан на PowerShell и может загружать и запускать файл с определенного адреса, выполнять команду с помощью cmd.exe, а также запускать любой блок кода PowerShell. Его связь с сервером является общей. Полученные команды, ответы и подтверждения идут по разным путям, что затрудняет обнаружение и анализ. Это гибкая и легко расширяемая система, который может предоставить злоумышленникам постоянный доступ и способность менять поведение по мере необходимости.

Российские хакеры масштабно атакуют пользователей с помощью кампании NOROBOT, которая выдает себя за CAPTCHA — Источник: группа Google Threat Intelligence Group.

Еще более быстрое развитие и новые трюки для побега

Анализ GTIG показывает, что COLDRIVER значительно ускорил скорость разработки. С июня по сентябрь 2025 года появилось несколько версий НОРОБОТа: которые чередовались по сложности, иногда простые, иногда снова многоуровневые и зашифрованные.

Цель ясна снизить вероятность обнаружения и в то же время усложнить работу аналитиков безопасности. Ротация инфраструктуры, изменение имен файлов, редактирование экспорта или папок, из которых загружаются файлы. Все ведет к единой цели, оставаться невидимым как можно дольше.

До сих пор COLDRIVER был известен в основном благодаря фишинговым атакам. то есть через поддельные электронные письма и документы, которые крадут данные доступа. Переход к полноценным кампаниям по борьбе с вредоносным ПО может означать, что группа пытается получить нечто большее, чем просто пароли. Вероятно, речь идет о содержимом самих устройств, внутренние документы, сообщения, фотографии или зашифрованные архивы.

Google после идентификации этой кампании заблокировал все известные домены и файлы в безопасном просмотре и оповещал пользователей Gmail и Workspace с помощью оповещений, поддерживаемых государством. Если вы получите такое уведомление, это не ложная тревога, это реальный риск.

хакерский мозг — Источник: janews/shutterstock.com

В целях защиты рекомендуется регулярно обновлять систему и браузер, включать расширенный безопасный просмотр в Chrome и не открывать файлы из неизвестных источников. особенно если они выглядят как CAPTCHA или PDF-документы.

COLDRIVER показала, что может адаптироваться быстрее, чем большинство команд безопасности. Новая серия вредоносных программ NOROBOT, YESROBOT и MAYBEROBOT представляет собой эволюцию кибератак. которые сочетают психологическую хитрость с технической изощренностью.

«Я не робот» больше не должно быть просто невинным кликом в Интернете. Представлено COLDRIVER, такое бывает ворота в кибершпионаж последнего поколения.