SIMPLEFIX Malware
Grupi rus i kërcënimeve të vazhdueshme të avancuara (APT) COLDRIVER është lidhur me një valë të re sulmesh në stilin ClickFix, duke prezantuar dy familje të lehta programesh keqdashëse: BAITSWITCH dhe SIMPLEFIX. Studiuesit e sigurisë e identifikuan këtë fushatë shumëfazëshe në shtator 2025. BAITSWITCH vepron si një shkarkues që në fund të fundit ofron SIMPLEFIX, një derë të pasme të bazuar në PowerShell.
COLDRIVER, i njohur edhe me pseudonime të tilla si Callisto, Star Blizzard dhe UNC4057, ka qenë aktiv që nga viti 2019, duke synuar një spektër të gjerë organizatash. Fushatat e hershme mbështeteshin në spear-phishing për të ridrejtuar viktimat në faqet e mbledhjes së kredencialeve. Me kalimin e kohës, grupi ka zhvilluar mjete të personalizuara si SPICA dhe LOSTKEYS, duke nxjerrë në pah sofistikimin e tij teknik në rritje.
Tabela e Përmbajtjes
ClickFix: Një Vektor Sulmi i Provuar dhe i Vazhdueshëm
Ky grup APT ka përdorur më parë taktikat ClickFix, të dokumentuara për herë të parë në maj 2025. Në këto fushata, faqet e rreme të internetit ofruan kërkesa mashtruese CAPTCHA, duke i mashtruar viktimat që të ekzekutonin komandat PowerShell që dorëzonin Skriptin Visual Basic LOSTKEYS.
Ndërsa ClickFix nuk është as i ri dhe as shumë i përparuar, përdorimi i tij i përsëritur tregon efektivitetin e tij si një vektor infeksioni. Sulmet e fundit ruajnë të njëjtën metodologji të përgjithshme: viktimat mashtrohen duke ekzekutuar një DLL keqdashëse përmes dialogut Run të Windows, me sa duket për të përfunduar një kontroll CAPTCHA.
Anatomia e Zinxhirit të Sulmit
Sulmi zhvillohet si më poshtë:
Skedari DLL BAITSWITCH ekzekutohet dhe lidhet me një domen të kontrolluar nga sulmuesi (captchanom.top) për të marrë derën e pasme SIMPLEFIX. Një dokument mashtrues i vendosur në Google Drive shfaqet për të shpërqendruar viktimën.
Disa kërkesa HTTP dërgohen në të njëjtin server për të transmetuar informacionin e sistemit, për të marrë komanda për qëndrueshmëri, për të ruajtur ngarkesa të enkriptuara në Regjistrin e Windows, për të shkarkuar një program stager PowerShell dhe për të fshirë historikun e fundit të dialogut Run për të mbuluar gjurmët.
Programi PowerShell shkarkon SIMPLEFIX nga southprovesolutions.com. SIMPLEFIX krijon një lidhje me një server Command-and-Control (C2), duke mundësuar ekzekutimin e skripteve, komandave dhe skedarëve binare të PowerShell në distancë.
Një skript PowerShell i ekzekutuar nëpërmjet SIMPLEFIX synon një grup të paracaktuar drejtorish dhe llojesh skedarësh për nxjerrje, pasqyrimi mbivendoset me fushatat e mëparshme LOSTKEYS.
Profili i Synimit dhe Fokusi Strategjik
Operacionet e COLDRIVER përqendrohen kryesisht te aktorët e shoqërisë civile, duke përfshirë:
- Anëtarë të OJQ-ve dhe grupeve të ekspertëve në rajonet perëndimore
Fushata aktuale përputhet ngushtë me këtë viktimologji të vendosur, duke përforcuar interesin e vazhdueshëm të grupit në shoqërinë civile ruse dhe rrjetet e lidhura me të.
