O grupo russo de ameaças persistentes avançadas (APT) conhecido como COLDRIVER foi identificado como responsável por uma nova onda de ataques do tipo ClickFix, que distribuem duas famílias de malware "leves", batizadas de BAITSWITCH e SIMPLEFIX.
A pesquisa da Zscaler ThreatLabz, que detectou a campanha multietapa ClickFix no início deste mês, descreve o BAITSWITCH como um downloader que, ao final, instala o SIMPLEFIX, um backdoor baseado em PowerShell.
Também conhecido como Callisto, Star Blizzard e UNC4057, o COLDRIVER é um agente de ameaça vinculado à Rússia, que tem como alvo diversos setores desde 2019.
As primeiras campanhas utilizavam spear-phishing para direcionar vítimas a páginas de coleta de credenciais.
Com o tempo, o grupo desenvolveu ferramentas personalizadas como SPICA e LOSTKEYS, mostrando sua crescente sofisticação técnica.
O uso da tática ClickFix pelo adversário já havia sido documentado em maio de 2025 pelo Google Threat Intelligence Group (GTIG).
Naquela ocasião, sites falsos exibiam prompts de CAPTCHA falsificados para induzir a vítima a executar comandos em PowerShell que entregavam o script Visual Basic LOSTKEYS.
“Apesar de não ser uma técnica nova ou muito avançada, o uso contínuo do ClickFix indica que permanece um vetor de infecção eficaz”, afirmam os pesquisadores da Zscaler Sudeep Singh e Yin Hong Chang, em relatório recente.
A cadeia do ataque mais recente mantém o mesmo modus operandi: usuários desavisados são enganados a rodar uma DLL maliciosa pelo diálogo Executar do Windows, sob o pretexto de passar por uma verificação CAPTCHA.
A DLL BAITSWITCH se comunica com um domínio controlado pelos invasores (“captchanom[.]top”) para baixar o backdoor SIMPLEFIX, enquanto um documento falso hospedado no Google Drive é exibido como isca.
Durante o ataque, o malware realiza várias requisições HTTP ao servidor para enviar informações do sistema, receber comandos para estabelecer persistência, armazenar payloads criptografados no Registro do Windows, baixar um stager em PowerShell e apagar o histórico do comando Executar, eliminando rastros da infecção via ClickFix.
O stager PowerShell baixado conecta-se a outro servidor externo (“southprovesolutions[.]com”) para baixar o SIMPLEFIX, que então se conecta a um servidor de comando e controle (C2) para executar scripts, comandos e binários hospedados em URLs remotos.
Entre os scripts executados pelo SIMPLEFIX, há um que exfiltra informações sobre tipos de arquivos presentes em diretórios pré-configurados.
A lista de diretórios e extensões explora similaridades com o malware LOSTKEYS.
Segundo a Zscaler, “o grupo COLDRIVER é conhecido por atacar membros de ONGs, defensores de direitos humanos, think tanks em regiões ocidentais, além de indivíduos exilados ou residentes na Rússia.” O foco desta campanha reflete claramente esse perfil, visando membros da sociedade civil ligados à Rússia.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...