Campanhas ClickFix expandem entrega de malware com novos carregadores e iscas de atualização falsa

Como as campanhas ClickFix evoluíram para driblar defesas corporativas

As campanhas ClickFix, antes conhecidas por explorar engenharia social com iscas de supostas atualizações de software, passaram a incorporar três novos carregadores de malware — BabaDeda Loader, Lorem Ipsum Loader e Potemkin — para ampliar a capacidade de entrega de payloads maliciosos. Segundo relatórios independentes de empresas de segurança, esses carregadores são usados em ataques direcionados a organizações do setor educacional e financeiro, indicando uma estratégia de segmentação mais refinada. A expansão do framework de ataque mantém a abordagem anterior de ocultar payloads dentro de pacotes de instalação aparentemente legítimos, mas agora com capacidades aprimoradas de furtividade, evasão e flexibilidade na entrega de diferentes tipos de malware.

A mudança reflete uma tendência crescente no cenário de ameaças: o uso de carregadores modulares que permitem aos atacantes adaptar rapidamente suas ferramentas conforme as defesas das vítimas evoluem. Enquanto o BabaDeda Loader já era conhecido desde 2021 por distribuir stealers de informações, RATs e até ransomware como o LockBit, os novos carregadores incorporam técnicas avançadas de ocultação, como a execução de comandos PowerShell ocultos, injeção de shellcode em memória e DLL side-loading. Essa abordagem não apenas dificulta a detecção por soluções de segurança tradicionais, mas também permite que os atacantes ajustem suas táticas em tempo real, conforme as respostas das vítimas e dos sistemas de defesa.

O papel do BabaDeda Loader na cadeia de ataque

O BabaDeda Loader, um dos principais componentes dessas campanhas, tem sido observado desde abril de 2026 em ataques contra instituições educacionais e financeiras. Sua estrutura foi projetada para operar com alto grau de discrição: antes de baixar o payload principal, o carregador realiza verificações no sistema, como identificar a presença de produtos de segurança e evitar execução em sistemas localizados na Rússia ou Belarus. Essa seletividade geográfica sugere uma possível filiação a grupos que buscam evitar conflitos legais ou geopolíticos, uma prática comum em operações de cibercrime.

Uma vez que o ambiente é considerado seguro, o BabaDeda Loader injeta o payload malicioso em processos legítimos do Windows, como o svchost.exe, uma técnica conhecida como process hollowing. Isso permite que o malware opere de forma persistente no sistema, mesmo após reinicializações. Além disso, o carregador é capaz de entregar uma ampla gama de malware, incluindo backdoors .NET e stealers de informações, que podem coletar dados sensíveis e estabelecer canais de comunicação criptografados com servidores de comando e controle (C2). Essa flexibilidade torna o BabaDeda Loader uma ferramenta valiosa para grupos que buscam maximizar o impacto de seus ataques.

Novas técnicas de ocultação: Storage Crypter e DLL side-loading

Um dos aspectos mais preocupantes dessas campanhas é o uso de técnicas avançadas de ocultação, como o Storage Crypter e o DLL side-loading. Em um dos cenários de ataque, os invasores distribuem um arquivo ZIP que emprega DLL side-loading para lançar famílias de malware como DanaBot e SectopRAT (também conhecido como ArechClient). O Storage Crypter, um componente do carregador, lê o payload malicioso de arquivos externos, como "List.Control.dat", que funcionam como contêineres de armazenamento. Essa abordagem minimiza a visibilidade forense, pois o payload só é decodificado momentos antes de sua execução, reduzindo as chances de detecção por ferramentas tradicionais de segurança.

A técnica de DLL side-loading explora a confiança que o sistema operacional deposita em bibliotecas dinâmicas legítimas. Ao substituir ou manipular uma DLL benigna por uma versão maliciosa, os atacantes conseguem executar código arbitrário com os privilégios do processo legítimo. Essa estratégia não apenas evita a detecção por antivírus baseados em assinaturas, mas também complica a análise automatizada, já que o malware não reside diretamente no arquivo executável principal. Para as equipes de segurança, isso significa que a detecção deve ir além da análise de arquivos estáticos e incluir monitoramento comportamental em tempo real.

A expansão da infraestrutura de ataque: Lorem Ipsum e Potemkin Loaders

Além do BabaDeda Loader, as campanhas ClickFix passaram a utilizar outros dois carregadores: o Lorem Ipsum Loader e o Potemkin. Embora menos documentados publicamente, esses carregadores seguem a mesma filosofia de modularidade e furtividade, permitindo que os atacantes alternem entre diferentes ferramentas conforme necessário. O Lorem Ipsum Loader, por exemplo, pode ser configurado para entregar payloads específicos com base no perfil da vítima, enquanto o Potemkin Loader é projetado para simular processos legítimos, tornando-se ainda mais difícil de ser identificado.

A adoção desses novos carregadores reflete uma tendência no ecossistema de cibercrime: a especialização de ferramentas. Grupos de atacantes estão cada vez mais utilizando carregadores como serviço (Loader-as-a-Service), onde diferentes carregadores são desenvolvidos e comercializados para atender a necessidades específicas de campanhas. Isso permite que grupos menores ou menos experientes tenham acesso a ferramentas avançadas, aumentando a sofisticação média dos ataques. Para as organizações, isso significa que a superfície de ataque está se expandindo, e os vetores de infecção estão se tornando mais diversificados.

Impacto nos setores educacional e financeiro

Os setores educacional e financeiro têm sido alvos frequentes dessas campanhas, provavelmente devido ao valor dos dados manipulados e à complexidade de suas infraestruturas de segurança. Instituições educacionais, por exemplo, muitas vezes possuem sistemas heterogêneos e atualizações irregulares, o que as torna vulneráveis a técnicas de engenharia social e exploração de vulnerabilidades conhecidas. Já no setor financeiro, a combinação de dados sensíveis de clientes e transações críticas torna essas organizações alvos atraentes para ataques que visam roubo de informações e interrupção de serviços.

Os ataques envolvendo o BabaDeda Loader, em particular, destacam a capacidade dos invasores de adaptar suas táticas para maximizar o impacto. Ao injetar malware em processos legítimos e estabelecer canais de comunicação criptografados com servidores C2, os atacantes podem permanecer ocultos por longos períodos, coletando dados ou preparando ataques subsequentes, como ransomware. Para as organizações desses setores, a lição é clara: a defesa deve ser proativa e baseada em múltiplas camadas, combinando monitoramento contínuo, análise comportamental e resposta rápida a incidentes.

Desafios para equipes de segurança e resposta a incidentes

Para as equipes de segurança, as campanhas ClickFix representam um desafio significativo, pois combinam técnicas de engenharia social com carregadores modulares e técnicas avançadas de ocultação. A detecção tradicional, baseada em assinaturas de malware ou análise estática de arquivos, muitas vezes não é suficiente para identificar essas ameaças. Em vez disso, as organizações devem investir em soluções que combinem monitoramento em tempo real, análise comportamental e resposta automatizada a incidentes.

Uma abordagem eficaz inclui a implementação de soluções de Endpoint Detection and Response (EDR) que possam identificar comportamentos suspeitos, como a injeção de código em processos legítimos ou a comunicação com servidores C2 desconhecidos. Além disso, a segmentação de redes e a aplicação rigorosa de políticas de privilégio mínimo podem limitar o impacto de um ataque bem-sucedido. A educação contínua dos usuários também é fundamental, pois muitas campanhas ainda dependem de engenharia social para obter acesso inicial.

O que as organizações devem fazer agora

Diante da crescente sofisticação das campanhas ClickFix, as organizações devem revisar suas estratégias de segurança para se proteger contra esses novos vetores de ataque. Em primeiro lugar, é essencial garantir que todos os sistemas estejam atualizados com as últimas correções de segurança, especialmente aqueles que executam versões antigas de software ou sistemas operacionais. A aplicação de patches deve ser priorizada, pois muitas campanhas exploram vulnerabilidades conhecidas para obter acesso inicial.

Em segundo lugar, as organizações devem implementar soluções de segurança que possam detectar comportamentos suspeitos em tempo real, como a execução de comandos PowerShell não autorizados ou a injeção de código em processos legítimos. Ferramentas de EDR e soluções de proteção contra ameaças avançadas (ATP) podem ajudar a identificar e bloquear essas atividades antes que causem danos. Além disso, a segmentação de redes e a aplicação de políticas de privilégio mínimo podem limitar a movimentação lateral de atacantes dentro da infraestrutura.

Por fim, a educação dos usuários continua sendo uma linha de defesa crítica. Campanhas de phishing e engenharia social ainda são os principais vetores de infecção, e treinamentos regulares podem ajudar os colaboradores a reconhecer e relatar tentativas suspeitas. As organizações também devem estabelecer procedimentos claros de resposta a incidentes, incluindo a capacidade de isolar sistemas comprometidos rapidamente e notificar as autoridades competentes quando necessário.

O futuro das campanhas de malware e o que esperar

As campanhas ClickFix e seus novos carregadores representam apenas um exemplo de como o cenário de ameaças está evoluindo rapidamente. Nos próximos meses, é provável que vejamos um aumento no uso de carregadores modulares e técnicas de ocultação cada vez mais sofisticadas. Grupos de atacantes continuarão a explorar vulnerabilidades em sistemas legados e a adaptar suas táticas para evitar detecção, tornando essencial que as organizações mantenham suas defesas atualizadas.

Além disso, a comercialização de ferramentas de ataque, como os carregadores modulares, deve continuar a crescer, permitindo que grupos menores ou menos experientes tenham acesso a ferramentas avançadas. Isso pode levar a um aumento na frequência e sofisticação dos ataques, exigindo que as organizações invistam em soluções de segurança mais robustas e em estratégias de resposta a incidentes mais ágeis. Para os profissionais de segurança, o desafio será manter-se à frente dessas ameaças, antecipando tendências e adaptando suas defesas conforme necessário.