文章总结： 文章揭示ClickFix攻击近期演变为利用BabaDeda、LoremIpsum和Potemkin三种新型Loader的复杂威胁。这些加载器采用模块化设计、DLL白加黑、环境探测、古董软件滥用及DGA域名等高级技术实现免杀和持久化。建议用户避免在终端粘贴未知代码，企业需加强DLL劫持监控和异常流量检测。 综合评分： 85 文章分类： 恶意软件,威胁情报,渗透测试,红队,社会工程学

警惕！ClickFix攻击全面爆发，BabaDeda与Potemkin底层技术全揭秘

原创

Kit Chung Kit Chung

安全圈动向

2026年6月22日 08:03 广东

在小说阅读器读本章

去阅读

最近我在追踪今年最新的恶意软件生态和威胁情报时，发现了一个极其有意思的现象：ClickFix（点击修复）攻击正在疯狂演进。

如果你对安全圈有关注，应该知道ClickFix本质上是一种极简的社工套路——黑客搞个假的错误弹窗，告诉你“系统出错了，按下 Win+R，粘贴这段代码按回车就能修复”。听起来很低级对吧？但偏偏就是这种利用人性的套路，一抓一个准。

不过，今天我不打算和大家熬这锅社工的鸡汤。真正让我倒吸一口凉气的是，在这层简陋的伪装之下，黑客投递的底层加载器已经进化得极其复杂且模块化了。 Morphisec、BlueVoyant和Huntress等几家安全机构最近接连披露了ClickFix攻击链背后的三大新型Loader：BabaDeda、Lorem Ipsum 和 Potemkin。今天咱们就从技术攻防的视角，扒一扒这三个Loader到底用了什么黑魔法，它们是如何实现免杀、绕过安全机制并在你的系统里“扎根”的。

一、BabaDeda Loader：极高隐蔽性的“外挂式”免杀

早在几年以前，BabaDeda还只是个把恶意代码塞进合法安装包里的“老实人”。但今年4月捕获的最新样本显示，它已经重构成了一个专为隐蔽和灵活载荷投递而生的高级框架。

它的核心技术路径和亮点在哪里？

1. 组合拳绕过检测：

   攻击者通过诱导用户执行隐藏的PowerShell脚本作为“打点”的第一步，紧接着利用内存Shellcode注入和DLL白加黑技术。

2. 环境探测与反沙箱：

   Loader非常“挑食”。它会深度检测宿主机环境，如果发现是俄罗斯或白俄罗斯的系统，直接罢工。此外，它还会进行严格的杀软进程检测，确认安全后才会去拉取真正的Payload，并将其注入到 svchost.exe 等可信的Windows系统进程中。

3. “外挂存储”设计：

   这是我觉得最巧妙的一点。以前的木马喜欢把所有东西打包成一个大文件（单体架构），容易被杀软特征码秒杀。现在的BabaDeda在第二阶段攻击中，会释放一个带有白加黑漏洞的ZIP包。真正的恶意代码并没有硬编码在程序里，而是像外部资源一样存放在名为 List.Control.dat 的数据文件中。只有在即将执行的那一毫秒，Loader才会去读取并解密这段数据。这种设计极大地降低了静态特征，让传统的自动化分析沙箱抓瞎。

BabaDeda最终投放的通常是基于 .NET 编写的后门和信息窃取器（如DanaBot和SectopRAT）。它们直接调用Windows原生API进行内存操作和DPAPI（数据保护API）访问，用来静默扒走你的浏览器Cookie、密码和加密密钥。

二、Lorem Ipsum Loader：被微软逼出来的“降维打击”

咱们再来看看第二个主角：Lorem Ipsum Loader。这个变种的出现，其实是黑客被微软“逼上梁山”的结果。

前段时间，微软端掉了一个专门倒卖“微软可信签名证书”的黑产团伙（Fox Tempest）。黑客们发现：手里没合法证书了，带签名的木马安装包玩不转了怎么办？

Vanilla Tempest 这个老牌勒索黑客组织（常搞Rhysida勒索软件的那帮人）给出的解法是：拥抱ClickFix，并利用古董级环境进行“降维打击”。

• 水坑攻击：

  他们批量拿下了大量WordPress站点（涉及建筑、法律等行业），将这些网站改造成ClickFix的触发点（比如伪装成Edge浏览器的安全更新）。

• 妙用2017年的Node.js：

  受害者一旦运行了黑客提供的命令，系统就会静默下载一个ZIP包，里面不仅有恶意JavaScript，还自带了一个2017年发布的古董级 Node.js（版本7.10.1）。

• 执行链条：

  为什么要用这么老的Node.js？因为老版本没有现代安全机制的诸多限制，执行JS脚本时的隐蔽性极高。JS运行后，会释放一个Batch批处理脚本，该脚本再次利用DLL劫持（针对 mscoree.dll 或 msvcp140.dll）解密出最终的 Lorem Ipsum Loader。最后，Loader会通过黑客控制的社交媒体主页提取C2服务器地址，完成主后门的下载。

技术点评：

这种抛弃证书签名，转而利用老旧合法运行环境（自带Node.js）来拉起恶意JS代码的思路，完美诠释了什么叫“因地制宜，快速适应”。

三、Potemkin Loader：硬刚Chromium加密的“技术流”

如果说前面两个偏向于战术欺骗，那最后一个 Potemkin Loader 绝对是底层技术实力最硬的。这套攻击链最终投递的是 EtherRAT 和一个叫 RMMProject 的恶意DLL。

这里面有几个非常硬核的技术点，值得所有做端点安全（EDR）的同学注意：

1. 无情绕过 Chromium ABE：

   现在的Chrome和Edge都启用了应用绑定加密来保护本地密码不被窃取。但 RMMProject 提供了一个高度模块化的 Lua 脚本引擎，黑客可以直接通过下发Lua脚本，在运行时绕过ABE机制，强行榨干浏览器的自动填充数据。

2. DGA域名生成算法：

   这个定制的x64 Loader为了防止C2服务器被封杀，内置了一个包含1000个单词的字典，使用DGA算法动态生成C2域名。并且，为了保护这个字典和通信流量，作者还写了一套自定义的字节加密算法。

3. 精准的设备追踪：

   它会在 %LOCALAPPDATA%\hyper-v.ver 下写入一个独一无二的UUID，用来精准追踪每一台肉鸡。

4. 疯狂的后渗透操作：

   一旦Potemkin上线，黑客会在后台完全接管：先篡改Microsoft Defender的排除项（让你瞎掉），然后拉起 Chisel 建立反向 SOCKS 隧道，再搞个 Cloudflare 隧道维持持久化权限。最后，用 WMIExec 和 SMBExec 在内网里横向移动，直扑域控。

💡 总结与防范思考

看完这些，你是不是觉得后背发凉？以前我们总觉得“Loader就是个下载器”，但现在，现代加载器框架已经彻底走向了高度模块化。投递、存储、执行和Payload部署被拆分成了完全独立的部分，传统的“一招鲜杀毒”已经很难应对。

ClickFix之所以至今依然泛滥，就是因为它用最简单的社工话术（“按Win+R输入这个修复”），掩护了最复杂的底层代码加载过程。苹果甚至在最新的 macOS Tahoe 26.4 中紧急加入了Terminal的防粘贴安全弹窗，明确警告用户不要盲目粘贴外部命令。

给各位IT同行的避坑指南：

1. 永远不要在终端（Terminal / PowerShell / 运行框）里粘贴任何来自网页、聊天工具、甚至是所谓“AI助手客服”提供的未知代码。
2. 企业内网安全防护不应只盯着落地的可执行文件（.exe），必须加强对DLL劫持（白加黑）监控、无文件（Fileless）攻击检测，以及异常外联流量（DGA特征）的审计。

安全攻防永远是动态博弈的过程。黑客在进化，我们的技术认知也必须不断迭代。今天分享的这些技术细节，希望能给大家日常的安全防御或红蓝对抗带来一些启发。

如果你觉得这篇文章对你有帮助，欢迎点赞、在看并转发给你的技术搭子！咱们下期见！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈动向 Kit Chung Kit Chung《警惕！ClickFix攻击全面爆发，BabaDeda与Potemkin底层技术全揭秘》