Вредоносное ПО SIMPLEFIX

Российская APT-группа COLDRIVER была связана с новой волной атак в стиле ClickFix, в ходе которых были запущены два семейства лёгких вредоносных программ: BAITSWITCH и SIMPLEFIX. Исследователи безопасности обнаружили эту многоэтапную кампанию в сентябре 2025 года. BAITSWITCH действует как загрузчик, который в конечном итоге устанавливает SIMPLEFIX — бэкдор на базе PowerShell.

Группа COLDRIVER, также известная под псевдонимами Callisto, Star Blizzard и UNC4057, действует с 2019 года, атакуя широкий спектр организаций. Ранние кампании основывались на фишинге для перенаправления жертв на страницы сбора учётных данных. Со временем группа разработала специальные инструменты, такие как SPICA и LOSTKEYS, что свидетельствует о её растущей технической сложности.

ClickFix: проверенный и устойчивый вектор атак

Эта APT-группа ранее уже применяла тактику ClickFix, впервые задокументированную в мае 2025 года. В ходе этих кампаний поддельные веб-сайты предлагали мошеннические запросы CAPTCHA, обманным путем заставляя жертв выполнять команды PowerShell, которые доставляли скрипт Visual Basic LOSTKEYS.

Хотя ClickFix не является ни новым, ни высокоразвитым вредоносным ПО, его многократное использование демонстрирует эффективность в качестве вектора заражения. Последние атаки используют ту же общую методологию: жертв обманным путём заставляют запустить вредоносную DLL-библиотеку через диалоговое окно «Выполнить» Windows, якобы для прохождения проверки CAPTCHA.

Анатомия цепи атаки

Атака происходит следующим образом:

Библиотека BAITSWITCH DLL запускается и подключается к контролируемому злоумышленником домену (captchanom.top), чтобы получить доступ к бэкдору SIMPLEFIX. Для отвлечения внимания жертвы отображается обманный документ, размещённый на Google Диске.

Несколько HTTP-запросов отправляются на один и тот же сервер для передачи системной информации, получения команд для сохранения, сохранения зашифрованных полезных данных в реестре Windows, загрузки стейджера PowerShell и стирания недавней истории диалогов «Выполнить», чтобы скрыть следы.

Мастер PowerShell загружает SIMPLEFIX с сайта southprovesolutions.com. SIMPLEFIX устанавливает соединение с сервером управления и контроля (C2), позволяя выполнять удалённые скрипты, команды и двоичные файлы PowerShell.

Скрипт PowerShell, выполняемый через SIMPLEFIX, нацелен на предопределенный набор каталогов и типов файлов для эксфильтрации, зеркально отражая совпадения с предыдущими кампаниями LOSTKEYS.

Целевой профиль и стратегический фокус

Деятельность COLDRIVER в первую очередь сосредоточена на представителях гражданского общества, включая:

• Члены НПО и аналитических центров в западных регионах
• Защитники прав человека

• Лица, высланные из России или проживающие в ней

Текущая кампания тесно связана с этой устоявшейся виктимологией, усиливая постоянный интерес группы к российскому гражданскому обществу и связанным с ним сетям.