SIMPLEFIX మాల్వేర్

రష్యన్ అడ్వాన్స్‌డ్ పెర్సిస్టెంట్ థ్రెట్ (APT) గ్రూప్ COLDRIVER, ClickFix-శైలి దాడుల కొత్త తరంగంతో ముడిపడి ఉంది, ఇది రెండు తేలికపాటి మాల్వేర్ కుటుంబాలను పరిచయం చేసింది: BAITSWITCH మరియు SIMPLEFIX. భద్రతా పరిశోధకులు సెప్టెంబర్ 2025లో ఈ బహుళ-దశల ప్రచారాన్ని గుర్తించారు. BAITSWITCH డౌన్‌లోడ్‌గా పనిచేస్తుంది, ఇది చివరికి పవర్‌షెల్ ఆధారిత బ్యాక్‌డోర్ అయిన SIMPLEFIXను అందిస్తుంది.

కాలిస్టో, స్టార్ బ్లిజార్డ్ మరియు UNC4057 వంటి మారుపేర్లతో కూడా పిలువబడే COLDRIVER, 2019 నుండి విస్తృత శ్రేణి సంస్థలను లక్ష్యంగా చేసుకుని చురుకుగా ఉంది. ప్రారంభ ప్రచారాలు బాధితులను క్రెడెన్షియల్-హార్వెస్టింగ్ పేజీలకు మళ్లించడానికి స్పియర్-ఫిషింగ్‌పై ఆధారపడి ఉన్నాయి. కాలక్రమేణా, ఈ సమూహం SPICA మరియు LOSTKEYS వంటి అనుకూల సాధనాలను అభివృద్ధి చేసింది, ఇది దాని పెరుగుతున్న సాంకేతిక అధునాతనతను హైలైట్ చేస్తుంది.

క్లిక్‌ఫిక్స్: నిరూపితమైన, నిరంతర దాడి వెక్టర్

ఈ APT గ్రూప్ గతంలో క్లిక్‌ఫిక్స్ వ్యూహాలను అమలు చేసింది, దీనిని మొదట మే 2025లో డాక్యుమెంట్ చేశారు. ఆ ప్రచారాలలో, నకిలీ వెబ్‌సైట్‌లు మోసపూరిత CAPTCHA ప్రాంప్ట్‌లను అందించాయి, బాధితులను LOSTKEYS విజువల్ బేసిక్ స్క్రిప్ట్‌ను అందించే పవర్‌షెల్ ఆదేశాలను అమలు చేయడానికి మోసగించాయి.

ClickFix కొత్తది కాదు లేదా అత్యంత అధునాతనమైనది కాకపోయినా, దాని పదేపదే ఉపయోగించడం వలన ఇన్ఫెక్షన్ వెక్టర్‌గా దాని ప్రభావాన్ని ప్రదర్శిస్తుంది. తాజా దాడులు కూడా అదే సాధారణ పద్దతిని కొనసాగిస్తున్నాయి: బాధితులు Windows Run డైలాగ్ ద్వారా హానికరమైన DLLని అమలు చేయడానికి మోసగించబడ్డారు, స్పష్టంగా CAPTCHA తనిఖీని పూర్తి చేయడానికి.

అటాక్ చైన్ యొక్క అనాటమీ

దాడి ఈ క్రింది విధంగా జరుగుతుంది:

BAITSWITCH DLL అమలు చేయబడుతుంది మరియు SIMPLEFIX బ్యాక్‌డోర్‌ను పొందడానికి దాడి చేసేవారి-నియంత్రిత డొమైన్ (captchanom.top)కి కనెక్ట్ అవుతుంది. బాధితుడి దృష్టి మరల్చడానికి Google డ్రైవ్‌లో హోస్ట్ చేయబడిన ఒక డెకాయి డాక్యుమెంట్ ప్రదర్శించబడుతుంది.

సిస్టమ్ సమాచారాన్ని ప్రసారం చేయడానికి, నిలకడ కోసం ఆదేశాలను స్వీకరించడానికి, Windows రిజిస్ట్రీలో ఎన్‌క్రిప్టెడ్ పేలోడ్‌లను నిల్వ చేయడానికి, పవర్‌షెల్ స్టేజర్‌ను డౌన్‌లోడ్ చేయడానికి మరియు ట్రేస్‌లను కవర్ చేయడానికి ఇటీవలి రన్ డైలాగ్ చరిత్రను తొలగించడానికి అనేక HTTP అభ్యర్థనలు ఒకే సర్వర్‌కు పంపబడతాయి.

పవర్‌షెల్ స్టేజర్ southprovesolutions.com నుండి SIMPLEFIXని డౌన్‌లోడ్ చేస్తుంది. SIMPLEFIX కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌తో కనెక్షన్‌ను ఏర్పాటు చేస్తుంది, రిమోట్ పవర్‌షెల్ స్క్రిప్ట్‌లు, కమాండ్‌లు మరియు బైనరీల అమలును అనుమతిస్తుంది.

SIMPLEFIX ద్వారా అమలు చేయబడిన పవర్‌షెల్ స్క్రిప్ట్, ఎక్స్‌ఫిల్ట్రేషన్ కోసం ముందే నిర్వచించబడిన డైరెక్టరీలు మరియు ఫైల్ రకాలను లక్ష్యంగా చేసుకుంటుంది, మునుపటి LOSTKEYS ప్రచారాలతో అతివ్యాప్తులను ప్రతిబింబిస్తుంది.

లక్ష్య ప్రొఫైల్ మరియు వ్యూహాత్మక దృష్టి

COLDRIVER యొక్క కార్యకలాపాలు ప్రధానంగా పౌర సమాజ నటులపై దృష్టి పెడతాయి, వాటిలో:

• పశ్చిమ ప్రాంతాలలోని NGOలు మరియు థింక్ ట్యాంకుల సభ్యులు

ప్రస్తుత ప్రచారం ఈ స్థిరపడిన బాధితుల శాస్త్రంతో దగ్గరగా ఉంటుంది, రష్యన్ పౌర సమాజం మరియు సంబంధిత నెట్‌వర్క్‌లపై సమూహం యొక్క కొనసాగుతున్న ఆసక్తిని బలోపేతం చేస్తుంది.