SIMPLEFIX Malware

রাশিয়ান অ্যাডভান্সড পারসিস্ট্যান্ট থ্রেট (APT) গ্রুপ COLDRIVER কে ClickFix-স্টাইলের আক্রমণের একটি নতুন তরঙ্গের সাথে যুক্ত করা হয়েছে, যা দুটি হালকা ম্যালওয়্যার পরিবারকে প্রবর্তন করেছে: BAITSWITCH এবং SIMPLEFIX। নিরাপত্তা গবেষকরা 2025 সালের সেপ্টেম্বরে এই বহু-পর্যায়ের প্রচারণাটি সনাক্ত করেছিলেন। BAITSWITCH একটি ডাউনলোডার হিসেবে কাজ করে যা শেষ পর্যন্ত SIMPLEFIX, একটি PowerShell-ভিত্তিক ব্যাকডোর সরবরাহ করে।

COLDRIVER, যা Callisto, Star Blizzard এবং UNC4057 এর মতো উপনাম দ্বারাও পরিচিত, 2019 সাল থেকে সক্রিয় রয়েছে, বিভিন্ন ধরণের সংস্থাকে লক্ষ্য করে। প্রাথমিক প্রচারণাগুলি শিকারদের শংসাপত্র-সংগ্রহ পৃষ্ঠাগুলিতে পুনঃনির্দেশিত করার জন্য স্পিয়ার-ফিশিংয়ের উপর নির্ভর করত। সময়ের সাথে সাথে, গ্রুপটি SPICA এবং LOSTKEYS এর মতো কাস্টম সরঞ্জাম তৈরি করেছে, যা এর ক্রমবর্ধমান প্রযুক্তিগত পরিশীলিততা তুলে ধরে।

ক্লিকফিক্স: একটি প্রমাণিত, অবিরাম আক্রমণ ভেক্টর

এই APT গ্রুপটি পূর্বে ClickFix কৌশল ব্যবহার করেছে, যা প্রথম ২০২৫ সালের মে মাসে নথিভুক্ত করা হয়েছিল। এই প্রচারণাগুলিতে, ভুয়া ওয়েবসাইটগুলি প্রতারণামূলক CAPTCHA প্রম্পট অফার করেছিল, যা ভুক্তভোগীদের PowerShell কমান্ডগুলি কার্যকর করতে প্রতারণা করেছিল যা LOSTKEYS ভিজ্যুয়াল বেসিক স্ক্রিপ্ট সরবরাহ করেছিল।

যদিও ClickFix নতুন বা অত্যন্ত উন্নত নয়, এর বারবার ব্যবহার সংক্রমণের বাহক হিসেবে এর কার্যকারিতা প্রদর্শন করে। সাম্প্রতিক আক্রমণগুলি একই সাধারণ পদ্ধতি বজায় রাখে: ভুক্তভোগীদের উইন্ডোজ রান ডায়ালগের মাধ্যমে একটি ক্ষতিকারক DLL চালানোর জন্য প্রতারিত করা হয়, দৃশ্যত একটি CAPTCHA চেক সম্পন্ন করার জন্য।

আক্রমণ শৃঙ্খলের অ্যানাটমি

আক্রমণটি নিম্নরূপ এগিয়ে যায়:

BAITSWITCH DLL কার্যকর করা হয় এবং SIMPLEFIX ব্যাকডোর আনতে আক্রমণকারী-নিয়ন্ত্রিত ডোমেন (captchanom.top) এর সাথে সংযুক্ত হয়। ভিকটিমকে বিভ্রান্ত করার জন্য গুগল ড্রাইভে হোস্ট করা একটি ডিকয় ডকুমেন্ট প্রদর্শিত হয়।

সিস্টেম তথ্য প্রেরণ, স্থায়িত্বের জন্য কমান্ড গ্রহণ, উইন্ডোজ রেজিস্ট্রিতে এনক্রিপ্ট করা পেলোড সংরক্ষণ, একটি পাওয়ারশেল স্টেজার ডাউনলোড এবং ট্রেসগুলি কভার করার জন্য সাম্প্রতিক রান ডায়ালগ ইতিহাস মুছে ফেলার জন্য একই সার্ভারে বেশ কয়েকটি HTTP অনুরোধ পাঠানো হয়।

PowerShell স্টেজার southprovesolutions.com থেকে SIMPLEFIX ডাউনলোড করে। SIMPLEFIX একটি কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারের সাথে একটি সংযোগ স্থাপন করে, যা দূরবর্তী PowerShell স্ক্রিপ্ট, কমান্ড এবং বাইনারিগুলির কার্যকরীকরণ সক্ষম করে।

SIMPLEFIX এর মাধ্যমে সম্পাদিত একটি PowerShell স্ক্রিপ্ট এক্সফিল্ট্রেশনের জন্য পূর্বনির্ধারিত ডিরেক্টরি এবং ফাইল প্রকারের একটি সেটকে লক্ষ্য করে, যা পূর্ববর্তী LOSTKEYS প্রচারাভিযানের সাথে ওভারল্যাপগুলিকে প্রতিফলিত করে।

লক্ষ্য প্রোফাইল এবং কৌশলগত ফোকাস

COLDRIVER-এর কার্যক্রম মূলত সুশীল সমাজের কর্মীদের উপর দৃষ্টি নিবদ্ধ করে, যার মধ্যে রয়েছে:

• পশ্চিমাঞ্চলের এনজিও এবং থিঙ্ক ট্যাঙ্কের সদস্যরা
• মানবাধিকার রক্ষাকারীরা

• রাশিয়া থেকে নির্বাসিত বা বসবাসকারী ব্যক্তিরা

বর্তমান প্রচারণা এই প্রতিষ্ঠিত শিকার তত্ত্বের সাথে ঘনিষ্ঠভাবে সামঞ্জস্যপূর্ণ, যা রাশিয়ান নাগরিক সমাজ এবং সম্পর্কিত নেটওয়ার্কগুলির প্রতি গোষ্ঠীর চলমান আগ্রহকে আরও জোরদার করে।