Programe malware SIMPLEFIX
Grupul rusesc de amenințări persistente avansate (APT) COLDRIVER a fost asociat cu un nou val de atacuri de tip ClickFix, introducând două familii de malware ușoare: BAITSWITCH și SIMPLEFIX. Cercetătorii în domeniul securității au identificat această campanie în mai multe etape în septembrie 2025. BAITSWITCH acționează ca un program de descărcare care, în cele din urmă, furnizează SIMPLEFIX, un backdoor bazat pe PowerShell.
COLDRIVER, cunoscut și sub pseudonime precum Callisto, Star Blizzard și UNC4057, este activ din 2019, vizând o gamă largă de organizații. Campaniile timpurii se bazau pe spear-phishing pentru a redirecționa victimele către pagini de colectare a acreditărilor. De-a lungul timpului, grupul a dezvoltat instrumente personalizate precum SPICA și LOSTKEYS, evidențiind sofisticarea sa tehnică în creștere.
Cuprins
ClickFix: Un vector de atac dovedit și persistent
Acest grup APT a folosit anterior tactici ClickFix, documentate pentru prima dată în mai 2025. În cadrul acestor campanii, site-uri web false ofereau solicitări CAPTCHA frauduloase, păcălind victimele să execute comenzi PowerShell care livrau scriptul Visual Basic LOSTKEYS.
Deși ClickFix nu este nici nou, nici foarte avansat, utilizarea sa repetată demonstrează eficacitatea sa ca vector de infecție. Ultimele atacuri mențin aceeași metodologie generală: victimele sunt păcălite să execute un DLL rău intenționat prin intermediul casetei de dialog Executare din Windows, aparent pentru a completa o verificare CAPTCHA.
Anatomia lanțului de atac
Atacul se desfășoară după cum urmează:
DLL-ul BAITSWITCH este executat și se conectează la un domeniu controlat de atacator (captchanom.top) pentru a prelua backdoor-ul SIMPLEFIX. Un document capcană găzduit pe Google Drive este afișat pentru a distrage atenția victimei.
Mai multe cereri HTTP sunt trimise către același server pentru a transmite informații de sistem, a primi comenzi pentru persistență, a stoca sarcini utile criptate în Registrul Windows, a descărca un program de pregătire PowerShell și a șterge istoricul recent al dialogului Executare pentru a acoperi urmele.
Programul de pregătire PowerShell descarcă SIMPLEFIX de pe southprovesolutions.com. SIMPLEFIX stabilește o conexiune cu un server Command-and-Control (C2), permițând executarea de scripturi, comenzi și fișiere binare PowerShell la distanță.
Un script PowerShell executat prin SIMPLEFIX vizează un set predefinit de directoare și tipuri de fișiere pentru exfiltrare, suprapunerile de oglindă cu campaniile LOSTKEYS anterioare.
Profilul țintă și orientarea strategică
Operațiunile COLDRIVER se concentrează în principal pe actorii societății civile, inclusiv:
- Membri ai ONG-urilor și grupurilor de reflecție din regiunile occidentale
- Apărătorii drepturilor omului
- Persoane exilate din Rusia sau care locuiesc în Rusia
Campania actuală se aliniază îndeaproape cu această victimologie consacrată, consolidând interesul continuu al grupului pentru societatea civilă rusă și rețelele conexe.
