Phần mềm độc hại SIMPLEFIX

Nhóm tin tặc chuyên tấn công dai dẳng (APT) COLDRIVER của Nga đã bị phát hiện có liên quan đến một làn sóng tấn công kiểu ClickFix mới, giới thiệu hai họ phần mềm độc hại nhẹ: BAITSWITCH và SIMPLEFIX. Các nhà nghiên cứu bảo mật đã phát hiện ra chiến dịch nhiều giai đoạn này vào tháng 9 năm 2025. BAITSWITCH hoạt động như một trình tải xuống, cuối cùng phân phối SIMPLEFIX, một backdoor dựa trên PowerShell.

COLDRIVER, còn được biết đến với các bí danh như Callisto, Star Blizzard và UNC4057, đã hoạt động từ năm 2019, nhắm mục tiêu vào nhiều tổ chức. Các chiến dịch ban đầu dựa vào tấn công lừa đảo để chuyển hướng nạn nhân đến các trang web thu thập thông tin đăng nhập. Theo thời gian, nhóm này đã phát triển các công cụ tùy chỉnh như SPICA và LOSTKEYS, cho thấy sự tinh vi ngày càng tăng về mặt kỹ thuật.

ClickFix: Một phương thức tấn công dai dẳng đã được chứng minh

Nhóm APT này trước đây đã triển khai chiến thuật ClickFix, lần đầu tiên được ghi nhận vào tháng 5 năm 2025. Trong các chiến dịch đó, các trang web giả mạo cung cấp lời nhắc CAPTCHA gian lận, lừa nạn nhân thực thi các lệnh PowerShell cung cấp LOSTKEYS Visual Basic Script.

Mặc dù ClickFix không phải là một công cụ mới lạ hay tiên tiến, nhưng việc sử dụng nó nhiều lần cho thấy tính hiệu quả của nó như một phương thức lây nhiễm. Các cuộc tấn công mới nhất vẫn duy trì cùng một phương pháp chung: nạn nhân bị lừa chạy một DLL độc hại thông qua hộp thoại Run của Windows, bề ngoài là để hoàn tất kiểm tra CAPTCHA.

Giải phẫu của chuỗi tấn công

Cuộc tấn công diễn ra như sau:

DLL BAITSWITCH được thực thi và kết nối đến một tên miền do kẻ tấn công kiểm soát (captchanom.top) để lấy backdoor SIMPLEFIX. Một tài liệu giả mạo được lưu trữ trên Google Drive sẽ được hiển thị để đánh lạc hướng nạn nhân.

Một số yêu cầu HTTP được gửi đến cùng một máy chủ để truyền thông tin hệ thống, nhận lệnh để duy trì, lưu trữ dữ liệu được mã hóa trong Windows Registry, tải xuống trình phân tích PowerShell và xóa lịch sử hộp thoại Chạy gần đây để che giấu dấu vết.

Trình phân tích PowerShell tải xuống SIMPLEFIX từ southprovesolutions.com. SIMPLEFIX thiết lập kết nối với máy chủ Command-and-Control (C2), cho phép thực thi các tập lệnh, lệnh và tệp nhị phân PowerShell từ xa.

Một tập lệnh PowerShell được thực thi thông qua SIMPLEFIX nhắm vào một tập hợp các thư mục và loại tệp được xác định trước để đánh cắp dữ liệu, phản ánh sự trùng lặp với các chiến dịch LOSTKEYS trước đó.

Hồ sơ mục tiêu và trọng tâm chiến lược

Hoạt động của COLDRIVER chủ yếu tập trung vào các tác nhân xã hội dân sự, bao gồm:

• Các thành viên của các tổ chức phi chính phủ và nhóm nghiên cứu ở các khu vực phía Tây
• Những người bảo vệ nhân quyền

• Những cá nhân bị lưu đày hoặc cư trú tại Nga

Chiến dịch hiện tại gắn chặt với nạn nhân học đã được thiết lập này, củng cố mối quan tâm liên tục của nhóm đối với xã hội dân sự Nga và các mạng lưới liên quan.