ClickFix 幕后的三大新型恶意软件装载器：BabaDeda、Lorem Ipsum 与 Potemkin

ClickFix 诱饵活动再升级：三大装载器登场

ClickFix 并非一款真实的软件产品，而是网络犯罪分子用来包装恶意代码的社会工程学幌子。最近曝出的多个 ClickFix 攻击活动已从单一的信息窃取，演变为包含 BabaDeda Loader、Lorem Ipsum Loader 和 Potemkin 三大装载器的复杂链条。根据多家网络安全公司的独立监测，这些装载器正在教育、金融等关键行业中频繁出现，攻击手法日趋隐蔽。与早期仅将恶意负载隐藏在看似合法的安装包内不同，新版本的装载器框架在保留原有基因的同时，增加了更强大的规避能力和负载灵活性，使得传统安全工具难以在执行前识别其恶意意图。

这些攻击的第一步几乎都始于用户被诱导运行攻击者提供的 PowerShell 命令。犯罪分子通过伪装成系统更新、软件补丁或安全工具升级的形式，诱使用户执行看似无害的命令。一旦 PowerShell 脚本被触发，BabaDeda 等装载器就会被投放到系统中，进而通过隐藏 PowerShell 执行、内存加载 shellcode、DLL 劫持等经典手法，绕过本地防护，最终下载并注入远程访问木马（RAT）或信息窃取器。值得注意的是，这些装载器还具备对目标系统的环境检测能力，包括避免在俄罗斯或白俄罗斯系统上运行，以及检查安全产品进程，从而进一步提升隐蔽性。

BabaDeda Loader：从 Web3 走向主流行业的多功能装载器

BabaDeda Loader 最早由 Morphisec 在 2021 年 11 月首次披露，最初主要针对加密货币与 Web3 生态中的用户，分发信息窃取器、远程控制木马甚至 LockBit 勒索软件。然而，到了 2026 年 4 月，该装载器的活动范围已扩展至教育与金融行业，显示其运营团队正在寻求更广泛的受害者群体。与早期版本相比，新版 BabaDeda 不仅保留了隐藏恶意负载于合法安装包内的特性，还进化为一套更加成熟的装载框架，专门为隐蔽性、规避性与负载灵活性而设计。

该装载器在运行时会先对目标系统进行侦察，包括检查系统语言、时区、安全软件进程，甚至避免在特定地理区域内激活，这一行为模式与许多国家级网络攻击组织的做法相似。在确认环境安全后，BabaDeda 会从外部存储（如伪装成普通文本文件的隐蔽容器）中提取并解密主负载，随后将其注入到系统信任进程（例如 svchost.exe）中执行。这种“即取即用”的设计极大地降低了恶意文件在磁盘上的留存时间，使得传统基于文件签名的防护机制难以有效拦截。

被 BabaDeda 投放的恶意软件家族包括一个 .NET 后门与信息窃取器。该后门能够收集受害者的敏感数据，例如浏览器历史记录、Cookie、密码管理器数据，并通过加密通道与命令控制（C2）服务器通信。此外，攻击者还利用 BabaDeda 分发 DanaBot 和 SectopRAT（又名 ArechClient）等成熟的银行木马和远控工具。这些木马不仅能窃取金融凭证，还具备横向移动和数据加密功能，进一步扩大了攻击的破坏范围。

Lorem Ipsum Loader：伪装文本背后的恶意负载

Lorem Ipsum Loader 是 ClickFix 活动中另一个值得关注的装载器变种。与 BabaDeda 通过 PowerShell 脚本投放不同，Lorem Ipsum Loader 通常通过 ZIP 压缩包进行传播。攻击者将恶意 DLL 文件伪装成合法软件的一部分，利用 Windows 的 DLL 劫持机制绕过用户模式的安全检查。这种手法在过去几年中已被广泛用于分发 Emotet、TrickBot 等知名恶意软件，如今再次出现在 ClickFix 活动中，说明犯罪分子仍在持续利用这一成熟的技术手段。

在执行阶段，Lorem Ipsum Loader 会读取外部存储的“List.Control.dat”等伪装文件，从中提取并解密实际的恶意负载。这种“分阶段加载”的设计使得恶意代码在磁盘上几乎不留痕迹，直到最后一刻才被解密并执行。对于安全分析人员而言，这意味着传统的静态分析工具难以发现恶意文件，而动态分析则需要在沙箱环境中精确模拟用户行为，才能触发完整的攻击链。此外，Lorem Ipsum Loader 还具备自更新能力，可以根据 C2 服务器的指令动态切换负载类型，进一步提升了防御的复杂性。

Potemkin Loader：隐藏在合法外壳下的远控工具

Potemkin Loader 是 ClickFix 活动中最新披露的装载器之一，其名称源于“波将金村庄”的隐喻，意指外表光鲜但内部空虚。该装载器同样以合法软件的安装包为幌子，通过隐藏在外部存储容器中的方式传递恶意负载。与其他两款装载器相比，Potemkin 的特点在于其高度模块化的设计和对合法进程的滥用。

在技术实现上，Potemkin Loader 会将恶意代码注入到系统的合法进程中，例如系统托盘程序或更新服务，从而避免引发用户的警觉。由于这些进程通常被信任且拥有较高的权限，恶意负载可以在系统内长期潜伏，并定期与 C2 服务器通信以接收新指令。安全研究人员发现，Potemkin 还具备反调试和反虚拟机能力，使得在实验室环境中分析其行为变得更加困难。这一特性表明，Potemkin 的开发者在规避检测技术方面投入了大量精力。

攻击链解析：从社会工程学到内存注入

ClickFix 活动的攻击链通常分为四个阶段：诱饵投放、初始执行、装载器加载、恶意负载执行与持久化。第一阶段，攻击者通过电子邮件、即时通讯软件或虚假广告，向目标用户推送“ClickFix 更新工具”或“系统安全补丁”的诱饵。这些诱饵通常模仿官方品牌的视觉设计，并附带一个看似无害的 PowerShell 脚本或 ZIP 压缩包。

一旦用户执行诱饵，第二阶段便开始。在 PowerShell 脚本的场景下，攻击者会利用隐藏参数或编码技术绕过脚本执行策略，直接在内存中运行恶意代码。而在 ZIP 压缩包的场景下，攻击者则利用 DLL 劫持或合法软件的安装程序，在用户毫不知情的情况下加载恶意 DLL。第三阶段，装载器（BabaDeda、Lorem Ipsum 或 Potemkin）会对系统进行侦察，并根据环境选择合适的负载。最后，装载器会从外部存储中提取并解密恶意负载，通过内存注入或进程劫持技术将其植入到合法进程中。这种多阶段、多层次的攻击链设计，使得传统的防病毒软件和网络防火墙难以在单一环节上完全拦截。

受害行业与地理分布：教育与金融成重灾区

根据多家安全公司的监测报告，ClickFix 活动的主要目标行业集中在教育和金融领域。教育行业之所以成为攻击目标，部分原因在于其网络环境复杂、用户安全意识参差不齐，且许多机构使用陈旧的软件系统。金融行业则因其高价值数据（如银行账户、信用卡信息）而成为犯罪分子的“肥肉”。此外，攻击者还利用金融机构对合规性和系统稳定性的高度重视，通过伪装成监管机构或审计工具的更新包，诱使用户安装恶意软件。

在地理分布上，虽然 BabaDeda 等装载器会主动避免在俄罗斯或白俄罗斯系统上运行，但其他两款装载器（Lorem Ipsum 和 Potemkin）并未表现出类似的地理限制。这表明 ClickFix 活动的运营团队可能由多个独立的犯罪团伙组成，各自拥有不同的目标偏好和技术特点。安全研究人员警告称，随着攻击手法的不断演进，未来可能会有更多行业和地区成为 ClickFix 的受害对象。

防护建议：如何应对隐蔽性极强的 ClickFix 攻击

面对 ClickFix 活动中装载器的隐蔽性和复杂性，企业与个人用户需要采取多层次的防护策略。首先，加强员工安全意识培训是最基础也是最关键的一步。定期开展模拟钓鱼测试，让员工识别伪装成“系统更新”或“安全补丁”的诱饵邮件与消息。其次，严格限制 PowerShell 和脚本执行权限。企业可以通过组策略或应用白名单的方式，仅允许经过验证的脚本在受控环境中运行，从而阻断攻击者利用 PowerShell 进行的初始投放。

在技术层面，企业应部署基于行为分析的端点检测与响应（EDR）解决方案，以监控异常的进程注入、内存写入或网络连接行为。传统的防病毒软件虽然能够拦截已知的恶意文件，但对于新型装载器的隐蔽执行方式效果有限。此外，网络层面的防护也不可或缺。企业应配置 DNS 过滤、网络流量监控与 C2 域名拦截，以降低恶意负载下载和远程控制的风险。对于使用微软系统的用户，启用 Windows Defender 的云检测与自动样本提交功能，也能在一定程度上提升对未知威胁的响应能力。

监控与响应：建立可持续的威胁 hunting 流程

由于 ClickFix 装载器的攻击链极为隐蔽，传统的基于签名的检测方式往往无法及时发现威胁。因此，建立一套可持续的威胁狩猎（Threat Hunting）流程至关重要。安全团队应定期审查系统日志，重点关注 PowerShell 的异常执行、未知进程的内存注入、以及与可疑 IP 或域名的网络连接。此外，利用机器学习与异常行为分析技术，可以识别出那些绕过传统防护机制的新型攻击模式。

在响应阶段，一旦发现潜在的 ClickFix 感染，企业应立即隔离受影响的终端，避免恶意负载进一步扩散。同时，收集并分析恶意软件样本，提取 IOC（威胁指标）并更新防护策略。对于个人用户，建议使用专业的反恶意软件工具进行全盘扫描，并检查系统中的可疑进程与网络连接。由于 ClickFix 装载器可能在系统中长期潜伏，用户应定期备份重要数据，并考虑使用系统还原点或专业工具清理可能的残留文件。

未来趋势与持续监测要点

随着网络犯罪分子对 ClickFix 活动的持续投入，预计未来将出现更多变种和新的装载器家族。犯罪分子可能会进一步利用 AI 生成的诱饵内容、深度伪造的语音或视频，以及更加隐蔽的隐蔽通信技术（如 DNS 隧道或加密流量伪装），来提升攻击的成功率。此外，随着物联网设备和云服务的普及，ClickFix 活动的目标范围可能从传统的桌面系统扩展到服务器、移动设备甚至工业控制系统。

对于安全从业者而言，持续关注 ClickFix 等活动的最新动态，并与同行分享情报，是构建有效防护体系的关键。企业应定期更新威胁情报库，与安全供应商保持沟通，并参与行业内的信息共享组织。同时，监管机构也应加强对网络犯罪活动的打击力度，通过法律手段追究幕后组织者的责任。只有多方协同，才能有效遏制 ClickFix 等隐蔽性极强的恶意软件活动的蔓延。