Kampanie ClickFix rozszerzają dystrybucję malware o nowe loadery i fałszywe aktualizacje

Wprowadzenie do problemu / definicja

ClickFix to technika socjotechniczna, w której atakujący nakłania ofiarę do samodzielnego uruchomienia złośliwego polecenia. Najczęściej odbywa się to poprzez komunikaty podszywające się pod aktualizację przeglądarki, weryfikację bezpieczeństwa lub rzekome działanie naprawcze. Z punktu widzenia obrony jest to szczególnie groźne, ponieważ użytkownik sam inicjuje wykonanie komendy, a dalszy łańcuch infekcji może być wieloetapowy, modularny i trudny do wykrycia klasycznymi metodami.

Najbardziej niepokojący trend polega na tym, że ClickFix przestaje być prostą sztuczką manipulacyjną, a staje się dojrzałym wektorem początkowego dostępu dla złożonych operacji malware. W najnowszych kampaniach technika ta została połączona z nowymi loaderami, fałszywymi aktualizacjami oraz mechanizmami ukrywania payloadów w pamięci.

W skrócie

Badacze bezpieczeństwa opisali kilka równoległych kampanii ClickFix, które służą do dostarczania nowych loaderów malware, takich jak BabaDeda Loader, Lorem Ipsum Loader oraz Potemkin. W analizowanych scenariuszach napastnicy wykorzystywali fałszywe aktualizacje przeglądarki, przejęte strony WordPress, archiwa ZIP, pliki HTA, DLL side-loading oraz polecenia PowerShell uruchamiane przez samą ofiarę.

• ClickFix służy jako etap początkowego dostępu.
• Nowe loadery oddzielają dostarczenie, wykonanie i komunikację z C2.
• Końcowe payloady obejmują infostealery, backdoory, RAT-y i narzędzia do ruchu bocznego.
• W części incydentów końcowym celem może być wdrożenie ransomware.

Kontekst / historia

Choć ClickFix nie jest nową techniką, w 2026 roku wyraźnie wzrosła jej popularność wśród różnych grup przestępczych. Jej skuteczność wynika z prostoty i wiarygodności. Użytkownik widzi komunikat sugerujący, że aby rozwiązać problem, musi nacisnąć Win+R, wkleić polecenie i je uruchomić. Taki schemat omija część tradycyjnych mechanizmów ochronnych, które koncentrują się głównie na blokowaniu plików, reputacji binariów lub znanych sygnaturach.

W obserwowanych operacjach widać też zmianę taktyki po stronie atakujących. Część grup wcześniej korzystała z innych modeli dostarczania malware, takich jak spreparowane instalatory, portale pobierania wspierane przez SEO poisoning czy malvertising. Przejście na ClickFix pokazuje, że cyberprzestępcy szybko adaptują TTP i wybierają metody mniej zależne od klasycznych instalatorów czy podpisanego kodu.

Analiza techniczna

Pierwszy łańcuch dotyczy BabaDeda Loader. Atak rozpoczyna się od scenariusza ClickFix, w którym ofiara uruchamia spreparowane polecenie PowerShell. Następnie loader pobiera kolejne komponenty, wykorzystując ukryty PowerShell, wykonanie shellcode w pamięci, DLL side-loading oraz przechowywanie payloadów w zewnętrznych kontenerach danych. Malware profiluje hosta, sprawdza środowisko bezpieczeństwa i unika uruchamiania na systemach powiązanych z Rosją i Białorusią. Końcowy payload może zostać wstrzyknięty do zaufanego procesu systemowego, takiego jak svchost.exe, co utrudnia wykrycie.

W tym scenariuszu obserwowano również komponenty odpowiedzialne za zbieranie szczegółowych informacji o systemie, enumerację profili przeglądarek oraz kradzież cookies, historii przeglądania, zapisanych poświadczeń i materiałów szyfrujących lokalny stan przeglądarki. Malware potrafi także przeszukiwać katalogi według określonych reguł, odczytywać i eksfiltrować pliki, wykonywać polecenia powłoki, przechwytywać zrzuty ekranu oraz komunikować się z serwerem C2 za pośrednictwem zaszyfrowanego kanału.

Drugi scenariusz obejmuje Lorem Ipsum Loader. Punktem wejścia były przejęte witryny WordPress z różnych branż, które prezentowały przynęty ClickFix podszywające się pod aktualizację zabezpieczeń przeglądarki Edge. Po wykonaniu komendy przez ofiarę pobierane były archiwum ZIP oraz starsza wersja Node.js, używana do uruchamiania złośliwych payloadów JavaScript i obniżania wykrywalności. Następnie dropper wdrażał kolejne komponenty, w tym skrypt batch odpowiadający za utrwalenie infekcji oraz łańcuch DLL side-loading uruchamiający złośliwe biblioteki dekodujące osadzony loader.

Lorem Ipsum Loader pełni rolę etapu pośredniego i służy do pobierania dalszego backdoora z infrastruktury C2, której adresy są pozyskiwane z profili kontrolowanych przez atakujących w mediach społecznościowych. To istotny element operacyjny, ponieważ wykorzystanie publicznych platform jako pośredniego repozytorium konfiguracji utrudnia blokowanie infrastruktury i zwiększa jej odporność. Według badaczy taki łańcuch ma wspierać dalsze działania post-exploitation, a docelowo także wdrożenia ransomware, w szczególności Rhysida.

Trzecia kampania wykorzystuje loader Potemkin. W tym przypadku infekcja rozpoczyna się od pakietu MSI, który dostarcza payload HTA. Ten z kolei wdraża niestandardowy loader x64, korzystający z DGA do odnajdywania infrastruktury C2 oraz z refleksyjnego ładowania modułów bezpośrednio w pamięci. Potemkin oferuje funkcje identyfikacji ofiary, polling zadań, pobieranie bibliotek DLL i ich wykonanie, a także własne mechanizmy ochrony komunikacji oraz słownika używanego przez DGA.

Po uzyskaniu dostępu operatorzy wdrażali dodatkowe narzędzia, w tym EtherRAT oraz RMMProject. Ten drugi komponent umożliwia zdalną kontrolę ekranu, kradzież danych z przeglądarek, wykonywanie dowolnych skryptów Lua, kończenie procesów przeglądarek, wykonywanie zrzutów ekranu oraz dynamiczne pobieranie kolejnych modułów. W obserwowanych incydentach odnotowano również aktywność hands-on-keyboard, obejmującą dodawanie wyjątków w Microsoft Defender, uruchamianie tuneli reverse SOCKS, rekonesans, utrwalanie dostępu oraz ruch boczny z użyciem WMIExec i SMBExec, aż do osiągnięcia kontrolera domeny i propagacji malware na kolejne hosty.

Konsekwencje / ryzyko

Z perspektywy organizacji ryzyko związane z ClickFix jest bardzo wysokie. Po pierwsze, technika ta przenosi część wykonania ataku na użytkownika, co zmniejsza skuteczność ochrony opartej wyłącznie na blokowaniu podejrzanych plików. Po drugie, modularne loadery pozwalają szybko wymieniać końcowe payloady bez przebudowy całego łańcucha dostarczania. Po trzecie, wykorzystanie mechanizmów pamięciozależnych, DGA, side-loadingu i zewnętrznych kontenerów danych ogranicza widoczność telemetryczną i utrudnia analizę incydentu.

Praktyczne skutki takich kampanii mogą obejmować kradzież poświadczeń, przejęcie sesji przeglądarkowych, eksfiltrację dokumentów, trwały zdalny dostęp, ruch boczny w sieci, naruszenie kontrolera domeny oraz końcowe wdrożenie ransomware. Szczególnie groźne jest połączenie infostealera, loadera i backdoora, ponieważ umożliwia zarówno szybkie monetyzowanie skradzionych danych, jak i późniejsze wykorzystanie dostępu do bardziej destrukcyjnych operacji.

Rekomendacje

Podstawowym środkiem obrony pozostaje ograniczenie możliwości uruchamiania niezweryfikowanych poleceń przez użytkowników oraz regularne szkolenia ukierunkowane konkretnie na scenariusze ClickFix. Pracownicy powinni wiedzieć, że legalna aktualizacja przeglądarki, systemu czy narzędzi bezpieczeństwa nie wymaga ręcznego wklejania poleceń do okna Uruchamianie, PowerShell, CMD ani Terminala.

• Monitorować uruchomienia PowerShell, mshta.exe, rundll32.exe, regsvr32.exe, node.exe oraz nietypowych instalatorów MSI.
• Wykrywać łańcuchy prowadzące do DLL side-loadingu, wstrzyknięć do zaufanych procesów i uruchamiania payloadów z katalogów tymczasowych.
• Blokować lub ograniczać wykonywanie HTA, niepodpisanych skryptów oraz interpreterów używanych poza uzasadnionym kontekstem biznesowym.
• Stosować EDR z regułami behawioralnymi obejmującymi ukryty PowerShell, in-memory execution, nietypowe użycie Node.js oraz tworzenie trwałości przez skrypty batch i biblioteki DLL.
• Monitorować dodawanie wyjątków w Microsoft Defender i inne zmiany w konfiguracji zabezpieczeń.
• Analizować ruch sieciowy pod kątem DGA, tuneli, nietypowych domen i niestandardowych wzorców beaconingu.
• Wzmacniać ochronę przeglądarek i magazynów poświadczeń, w tym izolację sesji uprzywilejowanych oraz odporne MFA tam, gdzie to możliwe.
• Ograniczać ruch boczny poprzez segmentację sieci i kontrolę użycia WMI, SMB oraz zdalnych usług administracyjnych.

Warto również przygotować dedykowany playbook reagowania na incydenty związane z ClickFix. Powinien on obejmować szybkie zabezpieczenie historii poleceń, artefaktów PowerShell, plików ZIP i HTA, danych o procesach potomnych, zmianach w Defenderze, identyfikację hostów dotkniętych tym samym payloadem oraz reset poświadczeń użytkowników, których dane przeglądarkowe lub sesyjne mogły zostać naruszone.

Podsumowanie

Najnowsze kampanie pokazują, że ClickFix ewoluował z prostej sztuczki socjotechnicznej do pełnoprawnego wektora początkowego dostępu dla zaawansowanych, wieloetapowych łańcuchów malware. BabaDeda Loader, Lorem Ipsum Loader i Potemkin reprezentują wspólny trend polegający na rozdzieleniu funkcji dostarczenia, ukrycia payloadu, wykonania i dalszej eksploatacji środowiska.

Dla zespołów bezpieczeństwa oznacza to konieczność jednoczesnego wzmacniania świadomości użytkowników, telemetryki endpointów, detekcji behawioralnej oraz procedur reagowania. W środowisku, w którym użytkownik staje się ręcznie uruchamianym etapem infekcji, klasyczne podejście oparte wyłącznie na sygnaturach przestaje być wystarczające.

Źródła

1. ClickFix Campaigns Expand Malware Delivery With New Loaders and Fake Update Lures — https://thehackernews.com/2026/06/clickfix-campaigns-expand-malware.html
2. Morphisec research on BabaDeda Loader — https://www.morphisec.com/
3. BlueVoyant research on Lorem Ipsum Loader and ClickFix activity — https://www.bluevoyant.com/
4. Huntress research on Potemkin, EtherRAT, and RMMProject — https://www.huntress.com/
5. Apple Support documentation on Terminal paste warnings in macOS — https://support.apple.com/