Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
ClickFix to technika socjotechniczna, w której atakujący nakłaniają ofiarę do samodzielnego uruchomienia złośliwego polecenia. Zamiast wykorzystywać klasyczne exploity, operatorzy kampanii prezentują wiarygodnie wyglądające komunikaty o rzekomej aktualizacji bezpieczeństwa, błędzie przeglądarki lub konieczności wykonania działania naprawczego.
Najgroźniejszy element tej metody polega na tym, że użytkownik sam inicjuje infekcję. W praktyce oznacza to uruchomienie komendy w PowerShell, cmd, Terminalu lub innym legalnym narzędziu systemowym, co pozwala ominąć część tradycyjnych mechanizmów ochronnych opartych na blokowaniu podejrzanych plików wykonywalnych.
W skrócie
Najnowsze kampanie ClickFix pokazują, że ten model ataku dojrzał i stał się pełnoprawnym wektorem initial access. Badacze opisali kilka odrębnych łańcuchów infekcji, w których wykorzystywane są loadery BabaDeda Loader, Lorem Ipsum Loader oraz Potemkin.
- Przynęty podszywają się pod aktualizacje przeglądarek i komunikaty bezpieczeństwa.
- Ofiara uruchamia polecenie inicjujące infekcję.
- Loadery pobierają kolejne moduły malware, często wyłącznie w pamięci.
- Finalny payload może obejmować stealery, backdoory, RAT-y i narzędzia post-exploitation.
- Celem bywa kradzież danych, utrzymanie dostępu, ruch boczny i przygotowanie gruntu pod ransomware.
Kontekst / historia
Choć ClickFix nie jest nowym pomysłem, w 2026 roku technika ta wyraźnie zyskała na znaczeniu. Jej popularność wynika z prostoty operacyjnej: atakujący nie muszą inwestować w kosztowne podatności zero-day ani skomplikowane łańcuchy exploitów. Wystarczy odpowiednio przygotowana strona, wiarygodny komunikat i użytkownik gotowy wykonać instrukcję.
W ostatnich kampaniach widać również zmianę strategii po stronie operatorów malware. Część grup odchodzi od trojanizowanych instalatorów i komponentów wymagających podpisu kodu, przenosząc moment wykonania na użytkownika. To ogranicza potrzebę dostarczania klasycznego droppera na początku ataku i utrudnia wykrywanie na podstawie prostych sygnatur.
Dodatkowym czynnikiem zwiększającym skuteczność takich operacji jest używanie przejętych stron internetowych, w tym witryn opartych na WordPressie. Dzięki temu przynęta wygląda bardziej wiarygodnie, a blokowanie infrastruktury wyłącznie na podstawie reputacji domen staje się mniej skuteczne.
Analiza techniczna
Jeden z opisanych wariantów wykorzystuje BabaDeda Loader. Łańcuch zaczyna się od strony z fałszywym komunikatem i instrukcją uruchomienia polecenia PowerShell. Po wykonaniu komendy dochodzi do pobrania kolejnych komponentów z użyciem ukrytego PowerShella, shellcode ładowanego w pamięci, DLL side-loadingu oraz rozdzielenia ładunków na osobne etapy.
BabaDeda Loader potrafi profilować host, analizować środowisko i unikać działania w wybranych regionach. Następnie pobiera właściwy payload i wstrzykuje go do zaufanych procesów systemowych. Dostarczane moduły mogą odpowiadać za zbieranie danych systemowych, artefaktów przeglądarek, zapisanych poświadczeń, plików użytkownika, zrzutów ekranu i rezultatów wykonywanych poleceń, co wskazuje na cel wykraczający poza prostą kradzież danych.
Drugi scenariusz obejmuje Lorem Ipsum Loader. Kampania wykorzystuje przejęte strony WordPress oraz fałszywe aktualizacje bezpieczeństwa dla przeglądarki Edge. Ofiara wykonuje komendę pobierającą archiwum ZIP i starszą wersję Node.js, używaną do uruchomienia złośliwych skryptów JavaScript. To podejście jest interesujące operacyjnie, ponieważ bazuje na legalnym środowisku uruchomieniowym, które może nie wzbudzać natychmiastowych podejrzeń.
Kolejny etap obejmuje skrypt wsadowy odpowiedzialny za utrwalenie obecności i rozpoczęcie łańcucha DLL side-loadingu. Złośliwa biblioteka dekoduje osadzony payload loadera, który następnie kontaktuje się z infrastrukturą C2 i pobiera backdoor. W niektórych przypadkach adresy następnych etapów są pozyskiwane z kontrolowanych przez atakujących profili w serwisach społecznościowych, co utrudnia szybkie wyłączenie całego ekosystemu.
Trzeci wariant opiera się na loaderze Potemkin. W tym modelu infekcja prowadzi do instalacji pakietu MSI, który zapisuje komponent HTA inicjujący dalszy etap. Potemkin działa jako 64-bitowy loader wykorzystujący algorytm DGA do odnajdywania serwera C2 oraz refleksyjne ładowanie modułów bezpośrednio w pamięci, co ogranicza ślady na dysku.
Potemkin zapisuje identyfikator ofiary, okresowo komunikuje się z C2, pobiera biblioteki DLL i uruchamia dodatkowe moduły. Z aktywnością wiązano również EtherRAT oraz RMMProject, oferujące zdalną kontrolę ekranu, kradzież danych przeglądarek, wykonywanie procesów, uruchamianie skryptów oraz pobieranie dalszych komponentów. W praktyce daje to operatorowi szerokie możliwości prowadzenia działań hands-on-keyboard, rekonesansu i ruchu bocznego.
Wspólną cechą wszystkich opisanych kampanii jest silna modularność. Etapy delivery, storage, execution i deployment payloadu są rozdzielone, dlatego pojedynczy wskaźnik kompromitacji rzadko oddaje pełny obraz incydentu. Skuteczna detekcja wymaga korelacji zdarzeń procesowych, sieciowych i pamięciowych oraz analizy zachowań użytkownika.
Konsekwencje / ryzyko
Ryzyko związane z ClickFix jest wysokie, ponieważ technika przenosi punkt wykonania na legalne narzędzia systemowe. Użytkownik uruchamia komendy w PowerShell, cmd, mshta lub interpreterach skryptów, co utrudnia odróżnienie złośliwej aktywności od działań administracyjnych.
Dla organizacji oznacza to możliwość szybkiej kradzieży poświadczeń, cookies, danych przeglądarek i plików użytkowników. Jednocześnie atak może przejść do utrwalenia dostępu, wyłączenia części mechanizmów ochronnych, ruchu bocznego i wdrożenia kolejnych ładunków, w tym ransomware.
Szczególnie niebezpieczne jest łączenie socjotechniki z legalnymi komponentami oraz technikami living-off-the-land. Jeśli organizacja nie monitoruje nietypowych poleceń, side-loadingu bibliotek, pobrań archiwów z nieautoryzowanych źródeł czy zmian w konfiguracji narzędzi ochronnych, wykrycie może nastąpić dopiero na etapie eksfiltracji danych lub szyfrowania zasobów.
Rekomendacje
Podstawową linią obrony jest edukacja użytkowników. Pracownicy powinni wiedzieć, że legalna aktualizacja przeglądarki, systemu lub aplikacji biurowej nie wymaga kopiowania poleceń do PowerShell, cmd ani Terminala.
- Monitorować uruchomienia PowerShell, mshta, wscript, cscript, rundll32 i regsvr32.
- Rejestrować i analizować parametry linii poleceń.
- Ograniczać użycie HTA, niepodpisanych skryptów i nieautoryzowanych interpreterów.
- Wdrożyć allowlisting aplikacji i kontrolę wykonywania kodu.
- Wykrywać DLL side-loading oraz nietypowe relacje parent-child między procesami.
- Śledzić pobieranie archiwów ZIP i wykonywanie skryptów JavaScript poza standardowym kontekstem.
- Alertować na dodawanie wykluczeń do Microsoft Defendera oraz innych rozwiązań EDR i AV.
- Segmentować sieć i ograniczać możliwości ruchu bocznego przez SMB, WMI oraz tunele reverse proxy.
Ważne jest również przygotowanie playbooków reagowania na incydenty powiązane z ClickFix. Zgłoszenia dotyczące komunikatów nakazujących wklejenie komendy powinny być traktowane jako incydenty wysokiego priorytetu. W analizie należy zabezpieczać historię poleceń, artefakty PowerShell, zadania zaplanowane, wpisy autostartu, biblioteki ładowane przez legalne aplikacje oraz komunikację z nietypowymi domenami.
Podsumowanie
ClickFix przestał być prostą sztuczką socjotechniczną i stał się dojrzałym elementem nowoczesnych łańcuchów dostawy malware. Kampanie wykorzystujące BabaDeda Loader, Lorem Ipsum Loader i Potemkin pokazują, że atakujący skutecznie łączą psychologię użytkownika z technikami in-memory execution, DLL side-loadingu, DGA i modularnego post-exploitation.
Dla zespołów bezpieczeństwa oznacza to konieczność zmiany perspektywy. Zagrożenie nie musi zaczynać się od exploita ani klasycznego pliku wykonywalnego. W przypadku ClickFix punktem wejścia jest zaufanie użytkownika oraz nadużycie legalnych narzędzi systemowych, dlatego skuteczna obrona wymaga jednocześnie świadomości personelu, dobrej telemetrii endpointów i szybkiej reakcji na nietypowe polecenia.