ClickFix si evolve: nuovi loader e trappole di aggiornamento per diffondere malware

ClickFix torna in scena con una nuova ondata di attacchi sofisticati

Negli ultimi mesi, le campagne di social engineering basate su ClickFix hanno subito una profonda evoluzione, passando da semplici truffe a vettori di infezione estremamente sofisticati. Secondo quanto riportato da più fonti di ricerca indipendenti, gli attaccanti stanno ora utilizzando tre loader malware distinti — BabaDeda Loader, Lorem Ipsum Loader e Potemkin — per distribuire payload dannosi in settori critici come l’istruzione e la finanza. Le tecniche impiegate combinano metodi consolidati come PowerShell nascosto, shellcode in memoria, DLL side-loading e archiviazione esterna dei payload, il tutto per massimizzare la stealth e superare i controlli di sicurezza tradizionali.

La novità principale risiede nella capacità di questi loader di operare come piattaforme modulari, in grado di adattarsi rapidamente a diversi ambienti e obiettivi. In particolare, BabaDeda Loader, già noto per la sua capacità di nascondere payload malevoli all’interno di pacchetti di installazione apparentemente legittimi, ha recentemente ampliato il proprio arsenale. La sua evoluzione include ora funzionalità avanzate di profilazione del sistema, evitando l’esecuzione su macchine localizzate in Russia o Bielorussia, e meccanismi di verifica delle soluzioni di sicurezza installate prima di procedere con il download del payload principale.

I tre loader al centro delle nuove campagne: caratteristiche e obiettivi

BabaDeda Loader rappresenta il fulcro di una delle catene di attacco più diffuse, con una prima ondata osservata ad aprile 2026. Questo loader si distingue per la sua capacità di iniettare il payload malevolo direttamente in processi di sistema fidati come svchost.exe, rendendo l’attività dannosa meno rilevabile dai software di sicurezza. Una volta eseguito, il loader può distribuire una backdoor .NET e un information stealer in grado di raccogliere dati sensibili e stabilire un canale crittografato con un server di comando e controllo (C2). La flessibilità di questo strumento permette agli attaccanti di personalizzare il payload in base all’ambiente compromesso, massimizzando l’efficacia dell’attacco.

Lorem Ipsum Loader e Potemkin, invece, seguono logiche simili ma con alcune differenze operative. Lorem Ipsum Loader, ad esempio, sfrutta archivi ZIP che utilizzano tecniche di DLL side-loading per lanciare DanaBot e SectopRAT (noto anche come ArechClient). La particolarità di questa catena risiede nell’uso di un componente loader denominato Storage Crypter, che legge il payload da file esterni come List.Control.dat. Questo approccio consente di nascondere il malware all’interno di contenitori apparentemente innocui, rendendo l’analisi forense più complessa e riducendo le possibilità che i sistemi di sicurezza tradizionali identifichino l’attività malevola prima dell’esecuzione.

Dalle origini di BabaDeda a un ecosistema in espansione

BabaDeda non è una novità nel panorama delle minacce informatiche. Il servizio di crypter associato a questo loader è stato documentato per la prima volta nel novembre 2021, quando venne utilizzato in campagne mirate ai settori delle criptovalute e del Web3 per distribuire information stealers, RAT e ransomware come LockBit. La sua capacità di eludere i controlli di sicurezza e di adattarsi a diversi contesti operativi ne ha fatto uno strumento ricorrente tra i cybercriminali. Oggi, tuttavia, BabaDeda è diventato parte di un ecosistema più ampio, in cui più loader operano in sinergia per aumentare la portata e l’efficacia degli attacchi.

La modularità di questi loader consente agli attaccanti di distribuire payload diversi in base al valore del target. Ad esempio, in ambienti aziendali come quelli finanziari o educativi, dove la quantità di dati sensibili è elevata, gli attaccanti possono optare per information stealers o backdoor che garantiscono un accesso persistente alla rete. In altri contesti, invece, potrebbero essere privilegiati RAT come DanaBot o SectopRAT, che permettono un controllo remoto più diretto del sistema compromesso. Questa flessibilità rende le campagne basate su ClickFix particolarmente pericolose, poiché gli attaccanti possono adattare la loro strategia in tempo reale in base alle caratteristiche dell’ambiente target.

Tecniche di evasione: come i loader aggirano i controlli di sicurezza

Uno degli aspetti più preoccupanti di questi nuovi loader è la loro capacità di eludere i controlli di sicurezza attraverso una combinazione di tecniche avanzate. Il ricorso a PowerShell nascosto e shellcode in memoria consente di eseguire codice malevolo senza lasciare tracce evidenti nei file di sistema. Inoltre, l’uso di DLL side-loading sfrutta processi legittimi per caricare librerie dannose, rendendo difficile per i sistemi di rilevamento basati su firme identificare l’attività malevola.

Un altro elemento chiave è l’archiviazione esterna dei payload. Invece di includere il malware direttamente nel file di installazione, gli attaccanti lo nascondono in file come List.Control.dat, che vengono decodificati solo pochi istanti prima dell’esecuzione. Questo approccio minimizza la visibilità forense e complica l’analisi automatica, poiché i sistemi di sicurezza faticano a identificare il payload prima che venga caricato in memoria. Inoltre, la capacità di questi loader di profilare il sistema e verificare la presenza di soluzioni di sicurezza consente agli attaccanti di adattare il loro comportamento in base all’ambiente compromesso, aumentando ulteriormente le probabilità di successo dell’attacco.

Settori nel mirino: perché educazione e finanza sono obiettivi privilegiati

I settori dell’istruzione e della finanza sono stati ripetutamente colpiti da queste campagne a causa della loro elevata esposizione a dati sensibili e della loro complessità infrastrutturale. Le istituzioni educative, ad esempio, spesso gestiscono grandi quantità di informazioni personali su studenti e personale, oltre a dati finanziari e di ricerca. Questi dati rappresentano un obiettivo attraente per gli attaccanti, che possono venderli sul dark web o utilizzarli per estorsioni. Allo stesso modo, il settore finanziario è un bersaglio privilegiato per via della quantità di transazioni e dati sensibili che gestisce quotidianamente.

L’uso di loader come BabaDeda Loader permette agli attaccanti di distribuire payload specificamente progettati per questi ambienti. Ad esempio, in un contesto educativo, un information stealer potrebbe essere configurato per raccogliere dati su studenti e personale, mentre in un ambiente finanziario potrebbe essere utilizzato per esfiltrare informazioni su transazioni o account. La capacità di questi loader di iniettare il payload in processi di sistema fidati consente inoltre agli attaccanti di mantenere un accesso persistente alla rete compromessa, rendendo più difficile per le organizzazioni rilevare e mitigare l’attacco.

Impatto e rischi per le organizzazioni

Le conseguenze di un’infezione da parte di questi loader possono essere gravi. Oltre alla perdita di dati sensibili, le organizzazioni rischiano di subire attacchi ransomware, furti di identità e violazioni della privacy. Inoltre, la capacità di questi loader di stabilire canali crittografati con server di comando e controllo consente agli attaccanti di mantenere un controllo remoto sulla rete compromessa, potenzialmente per mesi o anni. Questo rappresenta un rischio significativo per la sicurezza a lungo termine delle organizzazioni, soprattutto in settori come la finanza, dove la conformità normativa è strettamente regolamentata.

Un altro aspetto critico è la complessità della catena di attacco. L’uso di più loader e tecniche di evasione avanzate rende difficile per i team di sicurezza identificare e bloccare l’attacco nelle sue fasi iniziali. Inoltre, la capacità di questi loader di adattarsi all’ambiente compromesso consente agli attaccanti di superare le misure di sicurezza esistenti, rendendo necessario un approccio proattivo e multi-livello alla difesa.

Cosa devono fare le organizzimenti per proteggersi

Per difendersi da queste campagne, le organizzazioni devono adottare una strategia di sicurezza multi-livello che combini tecnologie avanzate e best practice consolidate. Innanzitutto, è fondamentale implementare soluzioni di rilevamento basate su comportamento e intelligenza artificiale, in grado di identificare attività sospette anche in assenza di firme note. Questi sistemi possono rilevare anomalie nel comportamento del sistema, come l’esecuzione di PowerShell nascosto o l’iniezione di shellcode in memoria, prima che il malware possa causare danni.

In secondo luogo, le organizzazioni dovrebbero limitare l’uso di PowerShell e di altri strumenti di scripting nei loro ambienti, consentendone l’esecuzione solo quando strettamente necessario e sotto stretto controllo. Inoltre, è consigliabile disabilitare l’esecuzione di script da fonti non attendibili e implementare politiche di restrizione software che impediscano l’esecuzione di file non firmati. Queste misure possono ridurre significativamente la superficie di attacco e limitare la capacità degli attaccanti di distribuire payload malevoli.

Infine, la formazione del personale rappresenta un elemento chiave nella difesa contro le campagne di social engineering come ClickFix. Gli utenti devono essere istruiti a riconoscere i segnali di un attacco, come email o messaggi sospetti che invitano a scaricare aggiornamenti o eseguire script PowerShell. Inoltre, è consigliabile implementare politiche di accesso minimo e segmentazione della rete per limitare la diffusione del malware in caso di compromissione. Solo attraverso un approccio olistico e proattivo sarà possibile mitigare efficacemente i rischi associati a queste nuove minacce.

Il futuro delle campagne ClickFix: cosa aspettarsi

Le campagne basate su ClickFix rappresentano solo l’inizio di una tendenza più ampia verso l’uso di loader modulari e tecniche di evasione avanzate. Con l’evoluzione delle difese delle organizzazioni, è probabile che gli attaccanti continueranno a raffinare le loro tecniche per superare i controlli di sicurezza. In particolare, ci si può aspettare un aumento dell’uso di intelligenza artificiale e machine learning sia da parte degli attaccanti che dei difensori, con i primi che cercheranno di automatizzare la personalizzazione degli attacchi e i secondi che adotteranno soluzioni in grado di rilevare comportamenti anomali in tempo reale.

Un altro trend da monitorare è l’espansione delle campagne verso nuovi settori e regioni geografiche. Sebbene attualmente l’attenzione sia concentrata su educazione e finanza, è probabile che gli attaccanti inizieranno a prendere di mira anche altri comparti, come la sanità o le infrastrutture critiche, dove la disponibilità di dati sensibili e la complessità delle reti rappresentano obiettivi ancora più attraenti. Inoltre, l’uso di loader come BabaDeda Loader potrebbe estendersi a campagne di cybercrime su larga scala, con attacchi mirati a distribuire ransomware o estorcere dati su vasta scala.

Per le organizzazioni, la sfida principale sarà rimanere un passo avanti agli attaccanti, adottando soluzioni di sicurezza che combinino rilevamento avanzato, risposta rapida e formazione continua del personale. Solo attraverso un approccio proattivo e l’adozione di best practice consolidate sarà possibile mitigare efficacemente i rischi associati a queste minacce in continua evoluzione.