הצעת הנחה מרובה רישיונות
מסד נתונים של איומים איום מתמשך מתקדם (APT) תוכנות זדוניות של SIMPLEFIX

תוכנות זדוניות של SIMPLEFIX

עד Mezo ב-איום מתמשך מתקדם (APT), תוכנה זדונית
לתרגם ל:

קבוצת האיומים המתקדמים והמתמשכים (APT) הרוסית COLDRIVER נקשרה לגל חדש של מתקפות בסגנון ClickFix, והציגה שתי משפחות של תוכנות זדוניות קלות משקל: BAITSWITCH ו-SIMPLEFIX. חוקרי אבטחה זיהו את הקמפיין הרב-שלבי הזה בספטמבר 2025. BAITSWITCH פועלת כמוריד תוכנות שבסופו של דבר מספקת את SIMPLEFIX, דלת אחורית מבוססת PowerShell.

COLDRIVER, הידועה גם בכינויים כמו Callisto, Star Blizzard ו-UNC4057, פעילה מאז 2019, ומכוונת למגוון רחב של ארגונים. קמפיינים מוקדמים הסתמכו על "פישינג" (spear-phishing) כדי להפנות קורבנות לדפי איסוף אישורים. עם הזמן, הקבוצה פיתחה כלים מותאמים אישית כמו SPICA ו-LOSTKEYS, המדגישים את התחכום הטכני הגובר שלה.

ClickFix: וקטור התקפה מוכח ומתמשך

קבוצת APT זו יישמה בעבר טקטיקות של ClickFix, שתועדו לראשונה במאי 2025. בקמפיינים אלה, אתרים מזויפים הציעו הנחיות CAPTCHA הונאה, והטעו את הקורבנות לבצע פקודות PowerShell שסיפקו את סקריפט Visual Basic LOSTKEYS.

בעוד ש-ClickFix אינו חדשני ואינו מתקדם במיוחד, השימוש החוזר ונשנה בו מדגים את יעילותו כווקטור הדבקה. ההתקפות האחרונות שומרות על אותה מתודולוגיה כללית: קורבנות מוטעים להריץ DLL זדוני דרך תיבת הדו-שיח הפעלה של Windows, לכאורה כדי להשלים בדיקת CAPTCHA.

אנטומיה של שרשרת ההתקפה

ההתקפה מתנהלת באופן הבא:

קובץ ה-DLL של BAITSWITCH מופעל ומתחבר לדומיין הנשלט על ידי התוקף (captchanom.top) כדי לאחזר את הדלת האחורית של SIMPLEFIX. מוצג מסמך פיתיון המאוחסן ב-Google Drive כדי להסיח את דעת הקורבן.

מספר בקשות HTTP נשלחות לאותו שרת כדי להעביר מידע מערכת, לקבל פקודות לצורך שמירה, לאחסן מטענים מוצפנים ברישום של Windows, להוריד stager של PowerShell ולמחוק היסטוריית תיבת דו-שיח הפעלה אחרונה כדי לכסות עקבות.

תוכנת PowerShell מורידה את SIMPLEFIX מאתר southprovesolutions.com. SIMPLEFIX יוצרת חיבור עם שרת Command-and-Control (C2), מה שמאפשר ביצוע של סקריפטים, פקודות וקבצים בינאריים של PowerShell מרוחקים.

סקריפט PowerShell המופעל באמצעות SIMPLEFIX מכוון לקבוצה מוגדרת מראש של ספריות וסוגי קבצים לצורך סינון, תוך משקף חפיפות עם קמפיינים קודמים של LOSTKEYS.

פרופיל יעד ומיקוד אסטרטגי

פעילותה של COLDRIVER מתמקדת בעיקר בגורמים בחברה האזרחית, ביניהם:

  • חברי ארגונים לא ממשלתיים ומכוני מחקר באזורים המערביים
  • מגיני זכויות אדם
  • אנשים שגולים מרוסיה או המתגוררים בה

    • הקמפיין הנוכחי תואם קשר הדוק לוויקטימולוגיה מבוססת זו, ומחזק את העניין המתמשך של הקבוצה בחברה האזרחית הרוסית וברשתות קשורות.

    מגמות

    הודעות הממתינות לתשומת לבך הונאת דוא"ל

    פישינג, ספאם
    דוא"ל נותר אחד מוקטורי ההתקפה הנפוצים ביותר עבור פושעי סייבר, והונאות במסווה של התראות חשבון מסוכנות במיוחד. קמפיין הונאה אחד כזה הוא הונאת הדוא"ל 'הודעות ממתינות לתשומת לבך', אשר מרמה את הנמענים לבקר באתרי פישינג שנועדו לגנוב אישורים רגישים. הבנת אופן פעולתה של תוכנית זו היא קריטית למניעת גניבת זהות, הונאה פיננסית והדבקות בתוכנות זדוניות. התראות שווא על מיילים מוסתרים הודעות הדוא"ל...

    הכי נצפה

    תוכנה זדונית

    פישינג, ספאם
    34,616
    הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
    טוען...