ClickFix-campagnes breiden de levering van malware uit met nieuwe laders en valse update-lokmiddelen

Cyberbeveiliging
ClickFix-campagnes breiden de levering van malware uit met nieuwe laders en valse update-lokmiddelen

Cybersecurity-onderzoekers hebben meerdere ClickFix-campagnes gemarkeerd die drie zogenaamde malware-laders opleveren BabaDeda-lader, Lorem Ipsum-laderEn Potemkinvolgens onafhankelijke rapporten van respectievelijk Morphisec, BlueVoyant en Huntress.

Aanvallen waarbij BabaDeda Loader betrokken was, waargenomen in april 2026, waren gericht op onderwijs- en financiële organisaties.

“Eerdere BabaDeda-activiteiten stonden bekend om het verbergen van kwaadaardige ladingen in legitiem ogende installatiepakketten”, zegt Morphisec-onderzoeker Shmuel Uzan. “Dit nieuwe raamwerk behoudt hetzelfde codegenoom, maar breidt het uit tot een veel capabelere lader die is gebouwd voor stealth, ontwijking en flexibiliteit van de payload.”

Het startpunt van de aanvallen is een ClickFix social engineering-aanval die gebruikers misleidt om door de aanvaller geleverde PowerShell-opdrachten uit te voeren om de loader af te leveren, die vervolgens wordt gebruikt om informatiestelers en trojans voor externe toegang (RAT’s) te verwijderen door bekende technieken te combineren zoals verborgen PowerShell, in-memory shellcode, DLL side-loading en externe payload-opslag.

De activiteit wordt toegeschreven aan BabaDeda, een cryptodienst die voor het eerst werd gedocumenteerd door Morphisec in november 2021 in verband met een campagne gericht op de cryptocurrency- en Web3-sectoren om informatiestelers, RAT’s en LockBit-ransomware te verspreiden.

De lader is ontworpen om de host te profileren, te voorkomen dat deze op Russische of Wit-Russische systemen wordt uitgevoerd en om beveiligingsproductgerelateerde controles uit te voeren voordat de hoofdpayload wordt opgehaald en in een vertrouwd Windows-proces zoals “svchost.exe” wordt geïnjecteerd.

Een van de malwarefamilies die via BabaDeda Loader wordt geleverd, is een .NET-achterdeur en informatiesteler die gevoelige gegevens kan verzamelen en een gecodeerd kanaal naar een command-and-control (C2)-server tot stand kan brengen. De malware ondersteunt een breed scala aan functies, waaronder –

  • Gedetailleerde systeeminformatie verzamelen
  • Geïnstalleerde browserprofielen ontdekken
  • Het extraheren van browserartefacten zoals cookies, browsegeschiedenis, opgeslagen inloggegevens, voorkeuren en coderingssleutels met lokale status
  • Door mappen bladeren en bestanden selecteren op basis van configureerbare regels
  • Bestandsinhoud lezen en exfiltreren
  • Schermafbeeldingen maken en informatie weergeven
  • Het uitvoeren van shell-opdrachten of externe processen en het verzamelen van uitvoer
  • Gegevens terugsturen naar de C2-server
  • Met behulp van native Windows API’s voor procesinteractie, geheugenbewerkingen, DPAPI-toegang, Restart Manager-gedrag en geavanceerde bestandstoegang

Een tweede aanvalsketen laat een ZIP-archief vallen dat gebruik maakt van DLL side-loading om DanaBot en SectopRAT (ook bekend als ArechClient) te starten. Wat opvalt aan deze aanvallen is het gebruik van een gefaseerde ladercomponent genaamd Storage Crypter, die het payload-materiaal leest uit externe opslagachtige bestanden zoals “List.Control.dat.”

“Het zichtbare applicatiepakket lijkt legitiem, terwijl kwaadaardige ladingen verborgen blijven in extern opgeslagen containers en slechts enkele ogenblikken vóór uitvoering worden gedecodeerd”, aldus Morphisec. “Dit ontwerp minimaliseert de forensische zichtbaarheid, compliceert geautomatiseerde analyses en vermindert de mogelijkheden voor traditionele beveiligingstools om kwaadaardige activiteiten te identificeren voordat de uitvoering plaatsvindt.”

De bevindingen vertegenwoordigen een evolutie van de moderne laderframeworks, die steeds modulairer en gescheiden levering, opslag, uitvoering en payload-implementatie zijn geworden in afzonderlijke componenten in plaats van te vertrouwen op een enkele monolithische entiteit.

ClickFix Chain Drops Lorem Ipsum-lader

De Click Fix-techniek is ook waargenomen in een actieve campagne die ten minste vijf gecompromitteerde WordPress-sites als uitgangspunt gebruikt om een ​​opkomende loader te leveren, en een achterdeur met de codenaam Lorem Ipsum Loader. De gehackte websites bestrijken meerdere sectoren, waaronder architectuur, juridische dienstverlening en bouwtechnologie.

De aanvallen markeren een afwijking van eerdere opportunistische campagnes waarbij gebruik werd gemaakt van getrojaniseerde Microsoft Teams-installatieprogramma’s via valse downloadportals die werden gepromoot via SEO-vergiftiging en malvertising. Aangenomen wordt dat de lader sinds februari 2026 in het wild actief is.

“De spil naar ClickFix-lokmiddelen die worden gehost op gecompromitteerde WordPress (WP)-sites vergroot de potentiële slachtofferpool aanzienlijk en toont de bereidheid van de operators aan om hun initiële toegangstechnieken snel aan te passen”, aldus BlueVoyant-onderzoekers Thomas Elkins en Joshua Green.

De verandering in het leveringsmechanisme wordt toegeschreven aan de recente verstoring door Microsoft van Fox Tempest (ook bekend als Forging Marauder), een bedreigingsacteur die reclame maakte voor een MSaaS-operatie (malware-signing-as-a-service) om malware te helpen leveren zonder alarmsignalen te genereren met behulp van frauduleus ondertekende Microsoft Trusted Signing-certificaten.

“Het verlies aan certificaatlevering maakte het eerder ondertekende leveringsmodel door de installateur onhaalbaar, waardoor de operators gedwongen werden een leveringsmechanisme in te voeren dat het ondertekenen van code volledig elimineert”, voegde de onderzoekers eraan toe.

Het dreigingsactiviteitencluster is het nieuwste voorbeeld van hoe slechte actoren gemakkelijk kunnen terugveren en zich kunnen aanpassen aan alternatieve uitvoeringsmodellen, ondanks voortdurende inspanningen van verdedigers en wetshandhavingsinstanties om hun operaties te ontmantelen.

Het Lorem Ipsum-ecosysteem wordt met veel vertrouwen toegeschreven aan een financieel gemotiveerde bedreigingsacteur die bekend staat als Vanilla Tempest (ook bekend als Rapid Brigantine, Vice Society en Vice Spider) en bekend staat om het inzetten van ransomwarefamilies als Rhysida, BlackCat, Zeppelin en Quantum Locker.

Aanvalsreeksen die Lorem Ipsum Loader distribueren, maken gebruik van ClickFix-achtige Edge-beveiligingsupdates voor webbrowsers om een ​​kwaadaardige opdracht uit te voeren die een ZIP-bestand en een verouderde versie van Node.js uit 2017 (versie 7.10.1) downloadt om op JavaScript gebaseerde payloads uit te voeren die in het archief aanwezig zijn, terwijl de kans op detectie wordt geminimaliseerd.

De JavaScript-payload functioneert als een dropper voor het implementeren en uitvoeren van extra malwarecomponenten op het geïnfecteerde systeem, waaronder een batchscript dat persistentie instelt door een DLL-zijlaadketen te starten om een ​​kwaadaardige DLL (“mscoree.dll” of “msvcp140.dll”) uit te voeren, die op zijn beurt de ingebedde Lorem Ipsum Loader-payload decodeert.

“De Lorem Ipsum Loader is ontworpen om de Lorem Ipsum Backdoor van de volgende fase op te halen uit de C2-infrastructuur die is verkregen van door aanvallers gecontroleerde profielen die worden gehost op sociale netwerkplatforms”, aldus BlueVoyant, eraan toevoegend dat de achterdeur functionaliteit bevat om payloads van de volgende fase uit te voeren die zijn ontvangen van de C2-server.

“De Lorem Ipsum-keten culmineert in de overdracht aan de gevestigde post-exploitatietooling van Rapid Brigantine en uiteindelijk aan hun gedocumenteerde ransomware-implementaties, voornamelijk Rhysida.”

Potemkin, RMMProject en EtherRAT geleverd via ClickFix

De derde campagne die op ClickFix vertrouwt, is een geavanceerde aanvalsketen die een MSI-pakket installeert, dat vervolgens een voorheen ongedocumenteerde lader met de codenaam Potemkin dropt via een HTML Application (HTA)-payload. De lader dient als kanaal voor EtherRAT en RMMProject, een Lua-scriptbare DLL met modules om schermbediening op afstand en diefstal van browsergegevens mogelijk te maken door de App-Bound Encryption (ABE)-beveiligingen van Chromium te omzeilen.

RMMProject implementeert ook een taakverdelingsmechanisme om een ​​bestand of proces uit te voeren, schermafbeeldingen te maken, gegevens voor automatisch aanvullen van browsers over te hevelen, willekeurige Lua-scripts uit te voeren, browserprocessen te beëindigen en tijdens runtime een extra module vanaf een URL te downloaden en uit te voeren.

Potemkin loader is een “aangepaste x64-lader die een algoritme voor het genereren van domeinen gebruikt om zijn C2 te vinden en op reflectieve wijze vervolgmodules in het geheugen laadt”, aldus Huntress-onderzoekers Anna Pham en Zach Rogers. De activiteit werd vorige maand gedetecteerd door de beveiligingsleverancier.

De lader ondersteunt verschillende functioneel verschillende componenten om de algehele levenscyclus af te handelen, DGA-gestuurde C2-detectie met behulp van een ingebouwd woordenboek van 1000 woorden, slachtofferidentificatie door middel van een unieke UUID-waarde geschreven naar “%LOCALAPPDATA%hyper-v.ver”, taakpeiling, ophalen en uitvoeren van DLL, en een aangepast bytecijfer om de C2-communicatie en het DGA-woordenboek te beschermen.

Nu de toegang tot stand is gebracht, zou de onbekende bedreigingsacteur zich bezighouden met praktische toetsenbordactiviteit om Microsoft Defender-uitsluitingen te configureren, Chisel reverse SOCKS-tunnels in te zetten, aanvullende verkenningen uit te voeren, een Cloudflare-tunnel op te zetten voor permanente toegang en zich lateraal te verspreiden via WMIExec en SMBExec om de domeincontroller te bereiken en EtherRAT over meer dan 11 hosts te verspreiden.

ClickFix blijft een duurzame techniek

De ontdekkingen komen omdat ClickFix een effectieve methode blijft om Windows- en macOS-gebruikers te targeten met frauduleuze botverificatieschermen om kwaadaardige payloads te leveren zoals Phexia Stealer, een macOS-infostealer, en HellsUchecker, een achterdeur geleverd via EtherHiding die in staat is om bestanden uit C2 uit te voeren en de resultaten terug te rapporteren.

ClickFix-campagnes hebben ook geprofiteerd van de groeiende belangstelling rond hulpmiddelen voor kunstmatige intelligentie (AI) om valse MSI-installatieprogramma’s te verspreiden zodat Claude PowerShell-payloads kan uitvoeren.

“ClickFix blijft effectief om een ​​simpele reden: het exploiteert de menselijke natuur. Mensen volgen van nature aanwijzingen op als ze een duidelijke, gezaghebbende instructie krijgen (‘druk op Win+R, plak dit, druk op Enter’)”, aldus onderzoekers van Huntress. “De social engineering hoeft niet geavanceerd te zijn; het moet er gewoon uitzien als een legitieme stap voor het oplossen van problemen, en vaker wel dan niet is dat genoeg.”

Het risico dat gepaard gaat met het plakken van commando’s in de Terminal-app vanaf websites (of chatagents, of berichten- of e-mailapps) heeft Apple ertoe aangezet een nieuwe beveiligingspop-up in macOS Tahoe 26.4 te introduceren die Mac-gebruikers waarschuwt die dit proberen te doen.

“Oplichters gebruiken deze kanalen om mensen te instrueren kwaadaardige commando’s in Terminal te plakken om je Mac te schaden of je privacy in gevaar te brengen”, merkt Apple op in een ondersteuningsdocument dat deze week is gepubliceerd. “Deze waarschuwing zorgt ervoor dat u niet wordt misleid om een ​​opdracht uit te voeren die u niet had verwacht.”

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Google Vertex AI SDK-fout laat aanvallers modeluploads kapen via bucket-squatting

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]