Programari maliciós SIMPLEFIX
El grup rus d'amenaces persistents avançades (APT) COLDRIVER s'ha relacionat amb una nova onada d'atacs d'estil ClickFix, introduint dues famílies de programari maliciós lleuger: BAITSWITCH i SIMPLEFIX. Els investigadors de seguretat van identificar aquesta campanya de diverses etapes el setembre de 2025. BAITSWITCH actua com un descarregador que finalment proporciona SIMPLEFIX, una porta del darrere basada en PowerShell.
COLDRIVER, també conegut per àlies com Callisto, Star Blizzard i UNC4057, ha estat actiu des del 2019, dirigit a un ampli espectre d'organitzacions. Les primeres campanyes es basaven en el spear-phishing per redirigir les víctimes a pàgines de recopilació de credencials. Amb el temps, el grup ha desenvolupat eines personalitzades com SPICA i LOSTKEYS, destacant la seva creixent sofisticació tècnica.
Taula de continguts
ClickFix: Un vector d’atac persistent i provat
Aquest grup APT ha desplegat anteriorment tàctiques ClickFix, documentades per primera vegada el maig de 2025. En aquestes campanyes, llocs web falsos oferien indicacions CAPTCHA fraudulentes, enganyant les víctimes perquè executessin ordres de PowerShell que lliuraven l'script LOSTKEYS de Visual Basic.
Tot i que ClickFix no és ni nou ni gaire avançat, el seu ús repetit demostra la seva eficàcia com a vector d'infecció. Els atacs més recents mantenen la mateixa metodologia general: les víctimes són enganyades perquè executin una DLL maliciosa a través del quadre de diàleg Executa de Windows, aparentment per completar una comprovació CAPTCHA.
Anatomia de la cadena d’atac
L'atac es desenvolupa de la següent manera:
S'executa la DLL BAITSWITCH i es connecta a un domini controlat per l'atacant (captchanom.top) per obtenir la porta del darrere SIMPLEFIX. Es mostra un document esquer allotjat a Google Drive per distreure la víctima.
Diverses sol·licituds HTTP s'envien al mateix servidor per transmetre informació del sistema, rebre ordres per a la persistència, emmagatzemar càrregues útils xifrades al Registre de Windows, descarregar un programador de PowerShell i esborrar l'historial recent del quadre de diàleg d'execució per cobrir traces.
El programador de proves de PowerShell descarrega SIMPLEFIX de southprovesolutions.com. SIMPLEFIX estableix una connexió amb un servidor de comandament i control (C2), cosa que permet l'execució de scripts, ordres i binaris remots de PowerShell.
Un script de PowerShell executat mitjançant SIMPLEFIX té com a objectiu un conjunt predefinit de directoris i tipus de fitxers per a l'exfiltració, i la duplicació se superposa amb campanyes anteriors de LOSTKEYS.
Perfil objectiu i enfocament estratègic
Les operacions de COLDRIVER se centren principalment en actors de la societat civil, com ara:
- Membres d'ONG i grups de reflexió a les regions occidentals
- Defensors dels drets humans
- Persones exiliades de Rússia o residents a Rússia
La campanya actual s'alinea estretament amb aquesta victimització establerta, reforçant l'interès continu del grup per la societat civil russa i les xarxes relacionades.
