Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Ameaça Persistente Avançada (APT) Malware SIMPLEFIX

Malware SIMPLEFIX

Por Mezo em Ameaça Persistente Avançada (APT), Malware
Traduzir Para:

O grupo russo de ameaças persistentes avançadas (APT) COLDRIVER foi associado a uma nova onda de ataques do tipo ClickFix, introduzindo duas famílias de malware leve: BAITSWITCH e SIMPLEFIX. Pesquisadores de segurança identificaram essa campanha multiestágios em setembro de 2025. O BAITSWITCH atua como um downloader que, por fim, entrega o SIMPLEFIX, um backdoor baseado em PowerShell.

O COLDRIVER, também conhecido por pseudônimos como Callisto, Star Blizzard e UNC4057, está ativo desde 2019, visando um amplo espectro de organizações. As primeiras campanhas dependiam de spear-phishing para redirecionar as vítimas a páginas de coleta de credenciais. Com o tempo, o grupo desenvolveu ferramentas personalizadas como SPICA e LOSTKEYS, destacando sua crescente sofisticação técnica.

ClickFix: um vetor de ataque comprovado e persistente

Este grupo APT já havia implantado táticas do ClickFix, documentadas pela primeira vez em maio de 2025. Nessas campanhas, sites falsos ofereciam prompts CAPTCHA fraudulentos, enganando as vítimas para que executassem comandos do PowerShell que entregavam o script LOSTKEYS do Visual Basic.

Embora o ClickFix não seja novo nem altamente avançado, seu uso repetido demonstra sua eficácia como vetor de infecção. Os ataques mais recentes seguem a mesma metodologia geral: as vítimas são enganadas e executadas por meio da caixa de diálogo Executar do Windows, supostamente para concluir uma verificação de CAPTCHA.

Anatomia da Cadeia de Ataque

O ataque ocorre da seguinte forma:

A DLL BAITSWITCH é executada e se conecta a um domínio controlado pelo invasor (captchanom.top) para buscar o backdoor SIMPLEFIX. Um documento falso hospedado no Google Drive é exibido para distrair a vítima.

Várias solicitações HTTP são enviadas ao mesmo servidor para transmitir informações do sistema, receber comandos para persistência, armazenar cargas criptografadas no Registro do Windows, baixar um preparador do PowerShell e apagar o histórico recente da caixa de diálogo Executar para cobrir rastros.

O preparador do PowerShell baixa o SIMPLEFIX de southprovesolutions.com. O SIMPLEFIX estabelece uma conexão com um servidor de Comando e Controle (C2), permitindo a execução de scripts, comandos e binários remotos do PowerShell.

Um script do PowerShell executado via SIMPLEFIX tem como alvo um conjunto predefinido de diretórios e tipos de arquivos para exfiltração, espelhando sobreposições com campanhas anteriores do LOSTKEYS.

Perfil do Alvo e Foco Estratégico

As operações da COLDRIVER concentram-se principalmente em atores da sociedade civil, incluindo:

  • Membros de ONGs e think tanks em regiões ocidentais
  • Defensores dos direitos humanos
  • Indivíduos exilados ou residentes na Rússia

A campanha atual está intimamente alinhada com essa vitimologia estabelecida, reforçando o interesse contínuo do grupo na sociedade civil russa e redes relacionadas.

Tendendo

Mais visto

Carregando...