El grupo persistente ruso COLDRIVER (también conocido como Callisto o Star Blizzard) lanzó una nueva campaña sofisticada utilizando la táctica de ingeniería social “ClickFix” para desplegar los malware ligeros BAITSWITCH (descargador) y SIMPLEFIX (puerta trasera de PowerShell).
Modus Operandi de la Campaña ClickFix
La campaña aprovecha la confianza del usuario y el abuso de las funciones nativas de Windows para obtener la ejecución inicial de código:
- Engaño “ClickFix”: Los atacantes apuntan a ONGs, defensores de derechos humanos y organizaciones con vínculos rusos o exiliados. Engañan a la víctima en línea con un CAPTCHA falso que solicita la “verificación” mediante la ejecución de un comando específico en el diálogo Ejecutar (Run) de Windows.
- Ejecución Inicial (BAITSWITCH): Al ejecutar el comando, la víctima lanza una DLL maliciosa llamada BAITSWITCH.
- Despliegue del Backdoor (SIMPLEFIX):
- BAITSWITCH actúa como un descargador, contactando servidores de comando y control (C2) dedicados, como captchanom[.]topo southprovesolutions[.]com.
- Descargue el backdoor final, SIMPLEFIX, que es un malware ligero basado en PowerShell.
- Acciones Posteriores y Sigilo: SIMPLEFIX establece persistencia, recopila información del sistema y, crucialmente, utiliza técnicas de limpieza de rastros al borrar los comandos recientes del diálogo Run. Su naturaleza ligera, basada en scripts de PowerShell, le otorga flexibilidad operativa para ampliar su funcionalidad de forma remota.
Recomendaciones
- Control de Ejecución y Restricción de Código
- Restringir el comando Run: Deshabilite o restrinja la capacidad de los usuarios no privilegiados para ejecutar DLL desde el comando Ejecutar (Run).
- Políticas de restricción: Configure políticas de restricción de ejecución (AppLocker, restricciones de scripts) que impidan las cargas maliciosas desde ubicaciones no confiables del sistema o scripts con un formato inusual.
- Control y Monitoreo de Red (C2)
- Bloqueo de Dominios: Bloquee inmediatamente los dominios de la infraestructura del atacante, como captchanom[.]topo southprovesolutions[.]com, en firewalls o proxies.
- Monitorización de Conexiones: Monitorice las conexiones salientes inusuales desde las estaciones de trabajo hacia dominios nuevos o IPs no reconocidas, ya que el backdoor necesita comunicarse con el C2.
- Monitoreo de Comportamiento del Sistema
- Detección de puertas traseras: Implemente alertas para detectar:
- Limpieza del historial o cambios inesperados en el diálogo Ejecutar.
- Uso inusual de PowerShell o su invocación para procesos que normalmente no lo requieren.
- Carga de DLL desconocidas por procesos legítimos.
- Cambios en el registro o archivos de sistema para establecer persistencia.
- Concienciación y Formación del Usuario
- Capacitación contra el Engaño: Capacite a los usuarios para que nunca ejecuten comandos o archivos que se les solicitan bajo la apariencia de verificaciones de seguridad, CAPTCHAs, o cualquier método de autenticación no estándar en el navegador. La táctica ClickFix, aunque sencilla, sigue siendo muy efectiva.
