Em setembro de 2025, o Zscaler ThreatLabz revelou uma campanha sofisticada do grupo APT COLDRIVER, vinculado à Rússia, que utiliza a técnica de engenharia social ClickFix. Tradicionalmente focado em phishing de credenciais, o grupo agora mira ONGs, jornalistas e defensores dos direitos humanos. A campanha começa com um site malicioso que imita um recurso informativo e induz a vítima a executar um comando malicioso que baixa o backdoor BAITSWITCH. Este backdoor estabelece persistência e se comunica com um servidor de comando e controle (C2) para baixar um segundo payload, o backdoor SIMPLEFIX. O SIMPLEFIX opera em um ciclo de três minutos, permitindo que os atacantes executem comandos e exfiltrarem dados. A campanha destaca a eficácia de vetores de ataque simples e a necessidade de controles de acesso rigorosos e soluções de segurança como o Windows AppLocker. O Zscaler classifica o BAITSWITCH como Win64.Downloader.BAITSWITCH e o SIMPLEFIX como PS.Backdoor.SIMPLEFIX, oferecendo cobertura contra essa ameaça em evolução.
Fonte: https://cyberpress.org/baitswitch-powershell-backdoor/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
25/09/2025 • Risco: ALTO
MALWARE
Grupo APT COLDRIVER implanta backdoor BAITSWITCH via PowerShell
RESUMO EXECUTIVO
A campanha do grupo COLDRIVER representa uma ameaça significativa para organizações que operam em áreas sensíveis, utilizando técnicas de engenharia social para comprometer sistemas e exfiltrar dados. A natureza ativa do ataque e os alvos específicos requerem atenção imediata dos líderes de segurança.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido a compromissos de dados e interrupções operacionais.
Operacional
Comprometimento de dados e execução de comandos remotos.
Setores vulneráveis
['ONGs', 'setor de mídia', 'defensores de direitos humanos']
📊 INDICADORES CHAVE
Campanha utiliza cinco requisições HTTP para comunicação.
Indicador
SIMPLEFIX opera em um ciclo de três minutos.
Contexto BR
O backdoor BAITSWITCH é instalado via um comando malicioso específico.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar logs de acesso e atividades suspeitas em sistemas críticos.
2
Implementar controles de acesso e soluções de whitelisting como Windows AppLocker.
3
Monitorar continuamente atividades de rede e tentativas de execução de scripts PowerShell não autorizados.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de suas organizações, especialmente aquelas que atuam em áreas sensíveis como direitos humanos, pois podem ser alvos de campanhas de APT.
⚖️ COMPLIANCE
Implicações para a conformidade com a LGPD, especialmente em relação à proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
