Coldriver kampány
A Zscaler ThreatLabz jelentése egy új, többfázisú ClickFix kampányt ír le, amelyet a civileket, újságírókat és emberi jogi aktivistákat célzó, orosz hátterű APT-csoporthoz, a COLDRIVER-hez (Star Blizzard, Callisto, UNC4057) kötnek. A támadás pszichológiai megtévesztési (social-engineering) adathalász levelekkel indul, majd egy rejtett stager tölti le a BAITSWITCH nevű letöltőt, amely tovább teríti a SIMPLEFIX PowerShell backdoor-t — ez a kombináció gyors telepítést és csendes, tartós hozzáférést biztosít az operátoroknak.
A kampány érdekes újdonsága, hogy a ClickFix módszertant alkalmazza, a fertőzési lánc elemei célzott manipulációra és hitelesítés-kiváltásra építenek, így a hagyományos gyanújelzők könnyebben elmaradhatnak. A Zscaler elemzése részletes technikai indikátorokat és viselkedésmintákat közöl, amelyek segíthetnek a detektálásban és a gyors reagálásban; a szerzők moderált biztonsággal rendelik a műveletet a COLDRIVERhez.
