Il gruppo APT russo COLDRIVER e i nuovi attacchi ClickFix
Il gruppo di minacce avanzate persistenti (APT) russo noto come COLDRIVER è stato recentemente collegato a una nuova serie di attacchi in stile ClickFix, progettati per distribuire due nuove famiglie di malware “leggeri” tracciati come BAITSWITCH e SIMPLEFIX. Zscaler ThreatLabz, che ha rilevato la nuova campagna ClickFix multi-fase all’inizio di questo mese, ha descritto BAITSWITCH come un downloader che alla fine rilascia SIMPLEFIX, un backdoor PowerShell.
Le tattiche di COLDRIVER
Conosciuto anche come Callisto, Star Blizzard e UNC4057, COLDRIVER è un attore di minacce legato alla Russia noto per prendere di mira una vasta gamma di settori dal 2019. Mentre le prime ondate di campagne utilizzavano esche di spear-phishing per indirizzare le vittime a pagine di raccolta credenziali, il gruppo ha ampliato il suo arsenale con strumenti personalizzati come SPICA e LOSTKEYS, dimostrando la sua sofisticazione tecnica.
La campagna ClickFix
L’uso delle tattiche ClickFix da parte dell’avversario è stato precedentemente documentato dal Google Threat Intelligence Group (GTIG) nel maggio 2025, utilizzando siti falsi che servono falsi prompt di verifica CAPTCHA per ingannare la vittima nell’esecuzione di un comando PowerShell progettato per distribuire lo script Visual Basic LOSTKEYS. “L’uso continuato di ClickFix suggerisce che sia un vettore di infezione efficace, anche se non è né nuovo né tecnicamente avanzato”, hanno affermato i ricercatori di sicurezza di Zscaler Sudeep Singh e Yin Hong Chang in un rapporto pubblicato questa settimana.
Il nuovo attacco
L’ultima catena di attacco segue lo stesso modus operandi, ingannando gli utenti ignari nell’esecuzione di una DLL dannosa nella finestra di dialogo Esegui di Windows sotto le spoglie di un controllo CAPTCHA. La DLL, BAITSWITCH, si connette a un dominio controllato dall’attaccante (“captchanom[.]top”) per recuperare il backdoor SIMPLEFIX, mentre un documento esca ospitato su Google Drive viene presentato alle vittime.
Inoltre, effettua diverse richieste HTTP allo stesso server per inviare informazioni di sistema, ricevere comandi per stabilire la persistenza, memorizzare payload crittografati nel Registro di Windows, scaricare uno stager PowerShell, cancellare il comando più recente eseguito nella finestra di dialogo Esegui, cancellando efficacemente le tracce dell’attacco ClickFix che ha innescato l’infezione.
Il ruolo di SIMPLEFIX
Lo stager PowerShell scaricato successivamente si connette a un server esterno (“southprovesolutions[.]com”) per scaricare SIMPLEFIX, che a sua volta stabilisce la comunicazione con un server di comando e controllo (C2) per eseguire script PowerShell, comandi e binari ospitati su URL remoti. Uno degli script PowerShell eseguiti tramite SIMPLEFIX esfiltra informazioni su un elenco codificato di tipi di file trovati in un elenco preconfigurato di directory. L’elenco delle directory e delle estensioni dei file scansionati condivide sovrapposizioni con quello di LOSTKEYS.
Obiettivi di COLDRIVER
Il gruppo APT COLDRIVER è noto per prendere di mira membri di ONG, difensori dei diritti umani, think tank nelle regioni occidentali, nonché individui esiliati e residenti in Russia. “L’obiettivo di questa campagna si allinea strettamente con la loro vittimologia, che prende di mira membri della società civile connessi alla Russia”, ha affermato Zscaler.
Considerazioni finali
La continua evoluzione delle tattiche di COLDRIVER dimostra la loro capacità di adattarsi e innovare, mantenendo un alto livello di minaccia per i loro obiettivi. L’uso di tecniche come ClickFix, sebbene non nuove, si è dimostrato efficace, sottolineando l’importanza di una vigilanza costante e di misure di sicurezza aggiornate. La comunità della sicurezza informatica deve rimanere all’erta e collaborare per contrastare queste minacce sofisticate e proteggere le informazioni sensibili da attacchi mirati.
Fonte: The Hackers News
