Новые угрозы ClickFix: как троянские загрузчики обходят защиту и атакуют организации

Киберпреступники продолжают совершенствовать тактики распространения вредоносного ПО, и последние кампании под кодовым названием ClickFix стали очередным доказательством этого. Независимые группы исследователей — Morphisec, BlueVoyant и Huntress — сообщили о новых волнах атак, в которых используются три ранее неизвестных или значительно усовершенствованных загрузчика: BabaDeda Loader, Lorem Ipsum Loader и Potemkin. Эти инструменты не только облегчают доставку вредоносного ПО, но и маскируют его присутствие, затрудняя обнаружение традиционными средствами защиты. Особое внимание злоумышленники уделяют социальной инженерии, эксплуатируя доверие пользователей к системным уведомлениям и обновлениям.

Наибольшую обеспокоенность вызывает активность BabaDeda Loader, который был замечен в апреле 2026 года. В отличие от предыдущих версий, новый фреймворк загрузчика не просто маскирует вредоносные.payloadы внутри легитимных инсталляторов, но и превратился в многофункциональный инструмент для скрытой загрузки и выполнения произвольного кода. Его архитектура основана на проверенных методах, таких как скрытые PowerShell-скрипты, внедрение shell-кода в память, DLL-сайдлоудинг и хранение полезной нагрузки на внешних носителях. Это позволяет злоумышленникам оставаться незамеченными на этапе доставки и инициализации вредоносной активности.

Как работает ClickFix: от социальной инженерии до скрытых угроз

Кампании ClickFix начинаются с классического приёма — социальной инженерии. Пользователи получают поддельные уведомления о необходимости срочно обновить программное обеспечение через ClickFix, якобы для исправления критической уязвимости или добавления новой функции. Нажатие на такой ложный баннер приводит к выполнению PowerShell-команд, которые выглядят легитимно, но на самом деле загружают и запускают вредоносные загрузчики. Этот механизм уже хорошо известен в среде кибербезопасности, однако в новых кампаниях он получил развитие благодаря использованию продвинутых техник обхода защиты.

Злоумышленники используют несколько уровней маскировки. Во-первых, вредоносный код часто внедряется в легитимные процессы Windows, такие как svchost.exe, что затрудняет его обнаружение антивирусными решениями. Во-вторых, загрузчики выполняют предварительную проверку системы: они избегают запуска на устройствах, геолокация которых связана с Россией или Беларусью, что может быть связано с политикой авторов вредоноса или попыткой снизить внимание к своей активности со стороны этих стран. В-третьих, вредоносные payloadы хранятся не внутри инсталлятора, а во внешних файлах, таких как "List.Control.dat", которые расшифровываются только в момент исполнения. Это значительно усложняет анализ вредоносного ПО и снижает вероятность его обнаружения до момента активации.

BabaDeda Loader: эволюция троянского коня с криптером

BabaDeda Loader не является новым явлением — впервые он был задокументирован Morphisec ещё в ноябре 2021 года. Тогда его основной целью были криптовалютные и Web3-проекты, где он использовался для распространения информационных собирателей, удалённых троянов (RAT) и даже программ-вымогателей, таких как LockBit. Однако за прошедшие годы загрузчик претерпел значительные изменения, превратившись в модульную платформу, способную адаптироваться к различным условиям эксплуатации.

Новая версия BabaDeda Loader обладает расширенными возможностями профилирования хоста. После запуска загрузчик анализирует установленные антивирусные решения, версии операционной системы и установленные патчи безопасности. На основе этих данных он выбирает оптимальную тактику доставки payload. Например, если на системе установлен определённый антивирус, загрузчик может использовать специфические техники обхода, такие как обфускация строк или изменение сигнатур. После этого он загружает основной payload, который может быть как информационным собирателем, так и полноценным бэкдором с возможностью удалённого управления.

От Lorem Ipsum до Potemkin: разнообразие угроз в одной кампании

Помимо BabaDeda, исследователи выявили две другие угрозы, распространяемые через ClickFix: Lorem Ipsum Loader и Potemkin. Хотя их активность менее задокументирована, они демонстрируют схожие тактики доставки и маскировки. Lorem Ipsum Loader, например, использует ZIP-архивы, внутри которых скрыты DLL-библиотеки для сайдлоудинга. Эти библиотеки загружают такие известные вредоносы, как DanaBot и SectopRAT (также известный как ArechClient). Особенность этого метода заключается в использовании промежуточного загрузчика, который получил название Storage Crypter. Он считывает полезную нагрузку из внешних файлов, таких как "List.Control.dat", и расшифровывает её только в момент исполнения.

Potemkin, в свою очередь, представляет собой более сложный инструмент, который может использоваться как для доставки вредоносного ПО, так и для выполнения других задач в рамках атаки. Его архитектура позволяет злоумышленникам быстро адаптироваться к новым условиям защиты, изменяя тактики доставки и маскировки. Например, Potemkin может использовать легитимные подписанные драйверы для выполнения вредоносного кода, что делает его особенно опасным для корпоративных сетей, где такие драйверы часто доверяются.

Техники обхода защиты: почему традиционные решения не справляются

Одна из ключевых причин успеха кампаний ClickFix — использование техник, которые успешно обходят традиционные средства защиты. Вредоносные загрузчики активно применяют методы, известные как "fileless malware" — вредоносное ПО, которое выполняется непосредственно в памяти без записи на диск. Это значительно усложняет обнаружение, так как антивирусы и системы предотвращения вторжений (IPS) ориентированы на анализ файлов. Кроме того, загрузчики используют легитимные процессы Windows для выполнения вредоносного кода, что затрудняет их идентификацию.

Другой проблемой является использование внешних хранилищ для payload. Вместо того чтобы хранить вредоносный код внутри инсталлятора или архива, злоумышленники используют внешние файлы, которые расшифровываются только в момент исполнения. Это не только усложняет анализ, но и позволяет избежать обнаружения на этапе сканирования файлов. Кроме того, загрузчики активно используют обфускацию кода, что делает сигнатуры менее эффективными для обнаружения. В совокупности эти техники создают многоуровневую защиту для вредоносного ПО, которая значительно усложняет его обнаружение и анализ.

Кого атакуют и почему это важно

Наиболее активные кампании с использованием BabaDeda Loader нацелены на образовательные и финансовые организации. Это не случайно: такие учреждения часто располагают большими объёмами чувствительных данных, включая личную информацию студентов или клиентов, финансовые транзакции и интеллектуальную собственность. В случае успешной атаки злоумышленники могут получить доступ к конфиденциальным данным, что приведёт к утечкам информации, финансовым потерям и репутационному ущербу.

Финансовый сектор особенно привлекателен для киберпреступников, так как атаки на банки и платёжные системы могут принести значительную прибыль. Образовательные учреждения, в свою очередь, часто страдают от нехватки ресурсов для поддержания современных систем защиты, что делает их лёгкой мишенью для атак. Кроме того, сотрудники таких организаций могут быть менее подготовлены к распознаванию угроз социальной инженерии, что увеличивает шансы на успех атаки.

Как защититься: практические шаги для организаций и пользователей

Для защиты от кампаний ClickFix и аналогичных угроз необходимо сочетать технические и организационные меры. Во-первых, следует внедрить многоуровневую систему защиты, которая включает в себя не только антивирусы и файрволы, но и системы обнаружения вторжений (IDS/IPS), а также решения для анализа поведения (EDR/XDR). Эти инструменты способны выявлять аномальную активность, даже если вредоносное ПО использует легитимные процессы или выполняется в памяти.

Во-вторых, необходимо усилить контроль за выполнением PowerShell и других системных утилит. Ограничение прав доступа пользователей и применение политик, запрещающих выполнение скриптов без подписи, могут значительно снизить риск успешной атаки. Также рекомендуется использовать решения для мониторинга сетевого трафика, которые способны обнаруживать подозрительные соединения с удалёнными серверами управления.

В-третьих, обучение сотрудников и пользователей должно стать неотъемлемой частью стратегии безопасности. Социальная инженерия остаётся одним из самых эффективных инструментов киберпреступников, поэтому важно регулярно проводить тренинги по распознаванию фишинговых атак и других форм мошенничества. Пользователи должны быть осведомлены о рисках, связанных с загрузкой и установкой непроверенного ПО, даже если оно маскируется под легитимные обновления.

Будущее угроз: чего ждать дальше

Кампании ClickFix — лишь один из примеров того, как киберпреступники адаптируются к новым условиям защиты. В будущем можно ожидать ещё более изощрённых техник доставки вредоносного ПО, включая использование искусственного интеллекта для генерации убедительных фишинговых писем, а также применение продвинутых методов обфускации и антианализа. Злоумышленники будут продолжать эксплуатировать легитимные инструменты и процессы, чтобы оставаться незамеченными.

Организациям следует готовиться к таким вызовам, инвестируя в современные решения для обнаружения угроз и обучая сотрудников основам кибергигиены. Важно понимать, что ни одна система защиты не является абсолютно надёжной, поэтому необходимо уделять внимание не только предотвращению атак, но и быстрому реагированию на инциденты. В случае обнаружения подозрительной активности важно оперативно изолировать заражённые системы и провести анализ для выявления источника угрозы.

Вывод: время действовать уже сегодня

Новые кампании ClickFix с использованием BabaDeda Loader, Lorem Ipsum Loader и Potemkin демонстрируют, что киберугрозы становятся всё более сложными и изощрёнными. Злоумышленники используют передовые техники обхода защиты, социальную инженерию и модульные загрузчики, чтобы оставаться незамеченными и достигать своих целей. Для противодействия этим угрозам необходимо сочетать современные технологии защиты с грамотной организацией процессов безопасности и обучением персонала.

Организации должны пересмотреть свои стратегии кибербезопасности, уделяя особое внимание многоуровневой защите, контролю за исполнением системных утилит и мониторингу сетевой активности. Пользователи, в свою очередь, должны быть более внимательны к подозрительным уведомлениям и обновлениям, особенно если они поступают из недоверенных источников. Только комплексный подход позволит эффективно противостоять растущим угрозам и минимизировать риски успешных атак.