ClickFix 活动通过新加载器和虚假更新诱饵扩大恶意软件投递

网络安全研究人员标记了多个 ClickFix 活动，这些活动分别投递了三种恶意软件加载器：BabaDeda Loader、Lorem Ipsum Loader 和 Potemkin，相关独立报告分别来自 Morphisec、BlueVoyant 和 Huntress。

涉及 BabaDeda Loader 的攻击于 2026 年 4 月被观察到，针对教育和金融组织。

Morphisec 研究员 Shmuel Uzan 表示：“早期的 BabaDeda 活动以将恶意 payload 隐藏在看似合法的安装程序包中而闻名。这个新框架保留了相同的代码基因，但将其扩展为一个能力更强的加载器，专为隐蔽性、规避性和 payload 灵活性而构建。”

攻击的起点是 ClickFix 社会工程攻击，该攻击欺骗用户运行攻击者提供的 PowerShell 命令以投递加载器，然后通过结合隐藏 PowerShell、内存 shellcode、DLL 侧加载和外部 payload 存储等已知技术，用于投放信息窃取程序和远程访问木马 (RAT)。

该活动归因于 BabaDeda，一种加密器服务，Morphisec 于 2021 年 11 月首次记录了该服务，与针对加密货币和 Web3 领域以分发信息窃取程序、RAT 和 LockBit 勒索软件的活动有关。

该加载器旨在对主机进行画像，避免在俄罗斯或白俄罗斯系统上运行，并在检索主 payload 并将其注入受信任的 Windows 进程之前执行安全产品相关检查。

通过 BabaDeda Loader 投递的恶意软件家族之一是 .NET 后门和信息窃取程序，它可以收集敏感数据并与命令与控制 (C2) 服务器建立加密通道。该恶意软件支持多种功能，包括：

• 收集详细的系统信息
• 发现已安装的浏览器配置文件
• 提取浏览器工件，如 cookies、浏览历史、保存的凭证、偏好设置和本地状态加密密钥
• 遍历目录并根据可配置规则选择文件
• 读取和外泄文件内容
• 捕获屏幕截图和显示信息
• 执行 shell 命令或外部进程并收集输出
• 将数据传输回 C2 服务器
• 使用原生 Windows API 进行进程交互、内存操作、DPAPI 访问、Restart Manager 行为和高级文件访问

第二个攻击链投放了一个 ZIP 存档，该存档利用 DLL 侧加载来启动 DanaBot 和 SectopRAT（又名 ArechClient）。这些攻击的显著之处在于使用了名为 Storage Crypter 的分阶段加载器组件，该组件从类似外部存储的文件中读取 payload 材料。

Morphisec 表示：“可见的应用程序包看起来是合法的，而恶意 payload 仍隐藏在外部存储的容器中，仅在执行前片刻才被解码。这种设计最大限度地减少了取证可见性，使自动化分析复杂化，并减少了传统安全工具在执行前识别恶意活动的机会。”

这些发现代表了现代加载器框架的演变，这些框架变得越来越模块化，将投递、存储、执行和 payload 部署分离为不同的组件，而不是依赖单一的 monolithic 实体。

ClickFix 链投递 Lorem Ipsum Loader

ClickFix 技术也在一个活跃活动中被观察到，该活动使用至少五个被入侵的 WordPress 网站作为起点，投递一种新兴的加载器和代号为 Lorem Ipsum Loader 的后门。被黑的网站涵盖多个领域，包括建筑、法律服务和建筑技术。

这些攻击标志着与之前机会主义活动的不同，之前的活动通过 SEO 投毒和恶意广告推广的虚假下载门户使用木马化的 Microsoft Teams 安装程序。该加载器据信自 2026 年 2 月以来已在野外活跃。

BlueVoyant 研究人员 Thomas Elkins 和 Joshua Green 表示：“转向托管在被入侵 WordPress 网站上的 ClickFix 诱饵显著扩大了潜在受害者群体，并表明运营者愿意迅速调整其初始访问技术。”

投递机制的改变归因于微软最近捣毁了 Fox Tempest（又名 Forging Marauder），这是一个威胁行为者，曾宣传恶意软件签名即服务 (MSaaS) 业务，通过欺诈性签名的 Microsoft Trusted Signing 证书来帮助投递恶意软件而不引起任何怀疑。

研究人员补充道：“证书供应的丧失使得之前基于签名安装程序的投递模式变得不可行，迫使运营者采用完全消除代码签名的投递机制。”

该威胁活动集群是恶意行为者如何轻松反弹并适应替代投递模式的最新实例，尽管防御者和执法部门持续努力瓦解其行动。

Lorem Ipsum 生态系统被高置信度地归因于一个名为 Vanilla Tempest（又名 Rapid Brigantine、Vice Society 和 Vice Spider）的经济动机威胁行为者，该行为者以部署 Rhysida、BlackCat、Zeppelin 和 Quantum Locker 等勒索软件家族而闻名。

分发 Lorem Ipsum Loader 的攻击序列利用 ClickFix 风格的 Edge 网页浏览器安全更新诱饵来运行恶意命令，该命令下载一个 ZIP 存档和一个 2017 年发布的过时版本 Node.js（版本 7.10.1），以执行存档中的基于 JavaScript 的 payload，同时最大限度地降低检测机会。

JavaScript payload 充当 dropper，用于在受感染系统上部署和执行其他恶意软件组件，包括一个批处理脚本，该脚本通过启动 DLL 侧加载链来执行恶意 DLL，进而解码嵌入的 Lorem Ipsum Loader payload。

BlueVoyant 表示：“Lorem Ipsum Loader 旨在从托管在社交网络平台上的攻击者控制配置文件中获取的 C2 基础设施中检索下一阶段的 Lorem Ipsum Backdoor，并补充说该后门包含运行从 C2 服务器接收的下一阶段 payload 的功能。Lorem Ipsum 链最终将控制权移交给 Rapid Brigantine 已建立的后期利用工具集，并最终移交到其记录的勒索软件部署，主要是 Rhysida。”

通过 ClickFix 投递 Potemkin、RMMProject 和 EtherRAT

第三个依赖 ClickFix 的活动是一个复杂的攻击链，它安装一个 MSI 包，然后通过 HTML Application (HTA) payload 投放一个此前未记录的代号为 Potemkin 的加载器。该加载器充当 EtherRAT 和 RMMProject 的通道，RMMProject 是一个可编写 Lua 脚本的 DLL，具有绕过 Chromium 的 App-Bound Encryption (ABE) 保护以实现远程屏幕控制和浏览器凭证窃取的模块。

RMMProject 还实现了一个任务调度器机制，用于运行文件或进程、截取屏幕截图、提取浏览器自动填充数据、执行任意 Lua 脚本、终止浏览器进程，以及在运行时从 URL 下载并运行附加模块。

Huntress 研究人员 Anna Pham 和 Zach Rogers 表示：“Potemkin 加载器是一个自定义 x64 加载器，它使用域生成算法 (DGA) 来查找其 C2，并在内存中反射式加载后续模块。”该活动上个月被这家安全供应商检测到。

该加载器支持各种功能不同的组件来处理整个生命周期：使用内置的 1,000 词字典进行 DGA 驱动的 C2 发现、通过写入唯一 UUID 值进行受害者识别、任务轮询、DLL 检索和执行，以及用于保护 C2 通信和 DGA 字典的自定义字节密码。

据称，在建立访问权限后，未知的威胁行为者进行了手动键盘活动，以配置 Microsoft Defender 排除项、部署 Chisel 反向 SOCKS 隧道、进行额外的侦察、设置 Cloudflare 隧道以实现持久访问，并通过 WMIExec 和 SMBExec 横向移动到域控制器，并在超过 11 台主机上传播 EtherRAT。

ClickFix 仍然是一种持久有效的技术

这些发现发布之际，ClickFix 仍然是一种有效的方法，通过虚假的机器人验证屏幕针对 Windows 和 macOS 用户，投递 Phexia Stealer（一种 macOS 信息窃取程序）和 HellsUchecker（一种通过 EtherHiding 投递的后门，能够执行从 C2 检索到的文件并将结果报告回来）等恶意 payload。

Huntress 研究人员表示：“ClickFix 仍然有效的原因很简单：它利用了人性。当人们看到一个清晰、看起来权威的指令时，自然会遵循指示。社会工程不需要很复杂；它只需要看起来像合法的故障排除步骤，而这通常就足够了。”

从网站（或聊天代理、消息或电子邮件应用）向 Terminal 应用粘贴命令所带来的风险，促使 Apple 在 macOS Tahoe 26.4 中引入了一个新的安全弹窗，警告尝试这样做的 Mac 用户。

Apple 在本周发布的支持文档中指出：“诈骗者利用这些渠道指示人们将恶意命令粘贴到 Terminal 中，以损害您的 Mac 或泄露您的隐私。此警报有助于确保您不会被诱骗运行您未预期的命令。”