SIMPLEFIX मैलवेयर

रूसी एडवांस्ड परसिस्टेंट थ्रेट (APT) समूह COLDRIVER को ClickFix-शैली के हमलों की एक नई लहर से जोड़ा गया है, जिससे दो हल्के मैलवेयर परिवार सामने आए हैं: BAITSWITCH और SIMPLEFIX। सुरक्षा शोधकर्ताओं ने सितंबर 2025 में इस बहु-चरणीय अभियान की पहचान की थी। BAITSWITCH एक डाउनलोडर के रूप में कार्य करता है जो अंततः SIMPLEFIX, एक पावरशेल-आधारित बैकडोर, प्रदान करता है।

कोल्डड्राइवर, जिसे कैलिस्टो, स्टार ब्लिज़ार्ड और यूएनसी4057 जैसे उपनामों से भी जाना जाता है, 2019 से सक्रिय है और विभिन्न संगठनों को निशाना बना रहा है। शुरुआती अभियान पीड़ितों को क्रेडेंशियल-हार्वेस्टिंग पृष्ठों पर पुनर्निर्देशित करने के लिए स्पीयर-फ़िशिंग का उपयोग करते थे। समय के साथ, समूह ने SPICA और LOSTKEYS जैसे कस्टम टूल विकसित किए हैं, जो इसकी बढ़ती तकनीकी दक्षता को दर्शाते हैं।

क्लिकफिक्स: एक सिद्ध, लगातार हमला करने वाला वेक्टर

इस APT समूह ने पहले भी ClickFix रणनीति को लागू किया है, जिसका पहली बार मई 2025 में दस्तावेजीकरण किया गया था। उन अभियानों में, नकली वेबसाइटों ने धोखाधड़ी वाले CAPTCHA संकेत दिए, पीड़ितों को PowerShell कमांड निष्पादित करने के लिए प्रेरित किया, जो LOSTKEYS विज़ुअल बेसिक स्क्रिप्ट प्रदान करते थे।

हालाँकि ClickFix न तो नया है और न ही बहुत उन्नत, फिर भी इसका बार-बार इस्तेमाल संक्रमण फैलाने वाले के रूप में इसकी प्रभावशीलता को दर्शाता है। नवीनतम हमलों में भी यही सामान्य कार्यप्रणाली अपनाई जाती है: पीड़ितों को विंडोज़ रन डायलॉग बॉक्स के ज़रिए एक दुर्भावनापूर्ण DLL चलाने के लिए धोखा दिया जाता है, जिसका उद्देश्य CAPTCHA जाँच पूरी करना होता है।

हमले की श्रृंखला की शारीरिक रचना

हमला इस प्रकार आगे बढ़ता है:

BAITSWITCH DLL निष्पादित होता है और SIMPLEFIX बैकडोर लाने के लिए हमलावर-नियंत्रित डोमेन (captchanom.top) से जुड़ता है। पीड़ित का ध्यान भटकाने के लिए Google ड्राइव पर होस्ट किया गया एक नकली दस्तावेज़ प्रदर्शित किया जाता है।

सिस्टम सूचना प्रेषित करने, दृढ़ता के लिए आदेश प्राप्त करने, एन्क्रिप्टेड पेलोड को विंडोज रजिस्ट्री में संग्रहीत करने, पावरशेल स्टेजर डाउनलोड करने, तथा निशानों को छिपाने के लिए हाल के रन संवाद इतिहास को मिटाने के लिए एक ही सर्वर पर कई HTTP अनुरोध भेजे जाते हैं।

PowerShell स्टेजर southprovesolutions.com से SIMPLEFIX डाउनलोड करता है। SIMPLEFIX एक कमांड-एंड-कंट्रोल (C2) सर्वर के साथ कनेक्शन स्थापित करता है, जिससे दूरस्थ PowerShell स्क्रिप्ट, कमांड और बाइनरी का निष्पादन संभव हो जाता है।

SIMPLEFIX के माध्यम से निष्पादित एक PowerShell स्क्रिप्ट, पूर्वनिर्धारित निर्देशिकाओं और फ़ाइल प्रकारों के सेट को एक्सफ़िल्ट्रेशन के लिए लक्षित करती है, तथा पिछले LOSTKEYS अभियानों के साथ ओवरलैप को प्रतिबिंबित करती है।

लक्ष्य प्रोफ़ाइल और रणनीतिक फोकस

कोल्ड्रिवर का संचालन मुख्य रूप से नागरिक समाज के कार्यकर्ताओं पर केंद्रित है, जिनमें शामिल हैं:

• पश्चिमी क्षेत्रों के गैर सरकारी संगठनों और थिंक टैंकों के सदस्य
• मानवाधिकार रक्षकों

• रूस से निर्वासित या रूस में रहने वाले व्यक्ति

वर्तमान अभियान इस स्थापित पीड़ित-विज्ञान के साथ निकटता से जुड़ा हुआ है, तथा रूसी नागरिक समाज और संबंधित नेटवर्क में समूह की निरंतर रुचि को मजबूत करता है।