Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Erweiterte, anhaltende Bedrohung (APT) SIMPLEFIX-Malware

SIMPLEFIX-Malware

Von Mezo in Erweiterte, anhaltende Bedrohung (APT), Malware
Übersetzen Sie in:

Die russische Advanced Persistent Threat (APT)-Gruppe COLDRIVER wird mit einer neuen Welle von ClickFix-ähnlichen Angriffen in Verbindung gebracht, die zwei leichtgewichtige Malware-Familien einführt: BAITSWITCH und SIMPLEFIX. Sicherheitsforscher identifizierten diese mehrstufige Kampagne im September 2025. BAITSWITCH fungiert als Downloader, der letztendlich SIMPLEFIX, eine PowerShell-basierte Backdoor, bereitstellt.

COLDRIVER, auch bekannt unter Decknamen wie Callisto, Star Blizzard und UNC4057, ist seit 2019 aktiv und zielt auf ein breites Spektrum von Organisationen ab. Frühe Kampagnen setzten auf Spear-Phishing, um Opfer auf Seiten zum Abgreifen von Anmeldeinformationen umzuleiten. Im Laufe der Zeit entwickelte die Gruppe maßgeschneiderte Tools wie SPICA und LOSTKEYS, was ihre zunehmende technische Raffinesse unterstreicht.

ClickFix: Ein bewährter, hartnäckiger Angriffsvektor

Diese APT-Gruppe hat bereits zuvor ClickFix-Taktiken eingesetzt, die erstmals im Mai 2025 dokumentiert wurden. In diesen Kampagnen boten gefälschte Websites betrügerische CAPTCHA-Eingabeaufforderungen an und verleiteten die Opfer dazu, PowerShell-Befehle auszuführen, die das Visual Basic-Skript LOSTKEYS lieferten.

Obwohl ClickFix weder neuartig noch hochentwickelt ist, zeigt seine wiederholte Verwendung seine Wirksamkeit als Infektionsvektor. Die jüngsten Angriffe verfolgen im Allgemeinen dieselbe Methodik: Die Opfer werden dazu verleitet, eine schädliche DLL über den Windows-Ausführen-Dialog auszuführen, angeblich um eine CAPTCHA-Prüfung abzuschließen.

Anatomie der Angriffskette

Der Angriff läuft wie folgt ab:

Die BAITSWITCH-DLL wird ausgeführt und stellt eine Verbindung zu einer vom Angreifer kontrollierten Domäne (captchanom.top) her, um die SIMPLEFIX-Backdoor abzurufen. Zur Ablenkung des Opfers wird ein auf Google Drive gehostetes Täuschungsdokument angezeigt.

Mehrere HTTP-Anfragen werden an denselben Server gesendet, um Systeminformationen zu übertragen, Befehle zur Persistenz zu empfangen, verschlüsselte Nutzdaten in der Windows-Registrierung zu speichern, einen PowerShell-Stager herunterzuladen und den aktuellen Verlauf des Ausführungsdialogs zu löschen, um Spuren zu verwischen.

Der PowerShell-Stager lädt SIMPLEFIX von southprovesolutions.com herunter. SIMPLEFIX stellt eine Verbindung mit einem Command-and-Control-Server (C2) her und ermöglicht so die Ausführung von Remote-PowerShell-Skripten, -Befehlen und -Binärdateien.

Ein über SIMPLEFIX ausgeführtes PowerShell-Skript zielt auf einen vordefinierten Satz von Verzeichnissen und Dateitypen zur Exfiltration ab und spiegelt Überschneidungen mit früheren LOSTKEYS-Kampagnen wider.

Zielprofil und strategischer Fokus

Die Aktivitäten von COLDRIVER konzentrieren sich in erster Linie auf Akteure der Zivilgesellschaft, darunter:

  • Mitglieder von NGOs und Think Tanks in westlichen Regionen
  • Menschenrechtsverteidiger
  • Aus Russland verbannte oder dort lebende Personen

    • Die aktuelle Kampagne steht in engem Einklang mit dieser etablierten Viktimologie und verstärkt das anhaltende Interesse der Gruppe an der russischen Zivilgesellschaft und verwandten Netzwerken.

    Im Trend

    Am häufigsten gesehen

    Wird geladen...