Zscaler ThreatLabz publie une analyse détaillée d’une campagne « ClickFix » attribuée à COLDRIVER ciblant des membres de la société civile russe (dissidents, ONG, défenseurs des droits humains). L’enquête met en lumière deux nouvelles familles de malwares, BAITSWITCH et SIMPLEFIX, et des techniques d’ingénierie sociale avancées.

• Chaîne d’attaque: des faux checkboxes Cloudflare Turnstile copient dans le presse‑papiers des commandes malveillantes rundll32.exe, incitant les victimes à les exécuter. La campagne est multi‑étapes et recourt à un filtrage côté serveur pour affiner les cibles et limiter l’exposition.

• BAITSWITCH: ce downloader établit une persistance via la clé registre UserInitMprLogonScript et récupère des payloads PowerShell chiffrés en AES, stockés dans le registre. Il sert de point d’entrée pour déployer les charges utiles suivantes.

• SIMPLEFIX: cette backdoor PowerShell légère permet la collecte de fichiers, la reconnaissance système et l’exécution de commandes à distance. La communication avec les serveurs C2 s’effectue en HTTPS avec des User‑Agents personnalisés. Le malware emploie encodage Base64, chiffrement AES et obfuscation, et aligne ses techniques sur le cadre MITRE ATT&CK.

• TTPs observés: ingénierie sociale via faux contrôles Cloudflare (copie dans le presse‑papiers) • exécution de commandes via rundll32 • persistance registre (UserInitMprLogonScript) • payloads PowerShell chiffrés et stockés dans le registre • C2 HTTPS avec User‑Agent personnalisé • encodage Base64, chiffrement AES, obfuscation • filtrage côté serveur • mise en œuvre de tactiques MITRE ATT&CK.

Type d’article: analyse de menace visant à documenter la campagne de COLDRIVER, les nouveaux outils déployés et les techniques associées.

🧠 TTPs et IOCs détectés

TTPs

[‘Ingénierie sociale via faux contrôles Cloudflare’, ‘Exécution de commandes via rundll32’, ‘Persistance registre (UserInitMprLogonScript)’, ‘Payloads PowerShell chiffrés et stockés dans le registre’, ‘C2 HTTPS avec User-Agent personnalisé’, ‘Encodage Base64’, ‘Chiffrement AES’, ‘Obfuscation’, ‘Filtrage côté serveur’]

🔗 Source originale : https://www.zscaler.com/blogs/security-research/coldriver-updates-arsenal-baitswitch-and-simplefix

🖴 Archive : https://web.archive.org/web/20250925100742/https://www.zscaler.com/blogs/security-research/coldriver-updates-arsenal-baitswitch-and-simplefix