Pesquisadores documentam três cadeias distintas — BabaDeda, Lorem Ipsum e Potemkin — que combinam engenharia social ClickFix, carregadores modulares e ferramentas pós-comprometimento em setores educacionais, financeiros e corporativos
| Componente | Cadeias ClickFix em Windows que entregam os loaders BabaDeda, Lorem Ipsum e Potemkin, com payloads finais incluindo stealers.NET, DanaBot, SectopRAT, backdoor Lorem Ipsum, EtherRAT e o módulo RMMProject |
| Vetor | Engenharia social ClickFix que induz a execução de comandos PowerShell ou equivalentes via iscas de verificação de bot, atualização falsa do Edge ou instaladores MSI/HTML Application (HTA), partindo de sites WordPress comprometidos ou páginas de download enganosas |
| Impacto | Comprometimento inicial com perfilamento de host, injeção em processos confiáveis, persistência por side-loading de DLL, canal C2 cifrado, coleta de credenciais e dados sensíveis, movimentação lateral documentada em mais de 11 hosts e handoff para ransomware Rhysida em cadeias atribuídas ao Vanilla Tempest |
| Prioridade | Bloquear execução não autorizada de scripts a partir de navegadores, reforçar controles contra colagem de comandos operacionais, caçar side-loading de DLL, telemetria de PowerShell oculto, tráfego DGA e ferramentas de túnel (Chisel, Cloudflare), além de revisar exclusões do Microsoft Defender |
| Artefatos | Arquivos externos como List.Control.dat, DLLs maliciosas mscoree.dll ou msvcp140.dll, identificador em %LOCALAPPDATA%\hyper-v.ver, pacotes MSI/HTA e versão legada Node.js 7.10.1 usada como vetor de execução JavaScript |
| Mitigação | Segmentação de rede, EDR com visibilidade em memória e side-loading, bloqueio de Node.js obsoleto em endpoints corporativos, monitoramento de perfis em redes sociais usados como fonte de C2 e rotação de credenciais após detecção de stealers ou RATs |
Pesquisadores de segurança identificaram múltiplas campanhas baseadas na técnica ClickFix que distribuem três famílias de carregadores distintas: BabaDeda Loader, Lorem Ipsum Loader e Potemkin. Os achados foram publicados de forma independente pela Morphisec, pela BlueVoyant e pela Huntress, respectivamente, e ilustram uma expansão coordenada de modelos de entrega que priorizam modularidade, evasão e flexibilidade de payload em vez de binários monolíticos.
O ponto de partida comum é a engenharia social ClickFix: telas ou instruções que simulam etapas legítimas de solução de problemas — como verificação de bot ou atualização de segurança do navegador — para levar o usuário a executar comandos fornecidos pelo atacante. A partir daí, cada cadeia emprega técnicas consolidadas de execução oculta, shellcode em memória, side-loading de DLL e armazenamento externo de material malicioso, reduzindo a superfície visível para análise automatizada e ferramentas tradicionais de endpoint.
A atividade envolvendo BabaDeda Loader foi observada em abril de 2026 contra organizações dos setores de educação e financeiro. O Lorem Ipsum Loader, ativo desde fevereiro de 2026, marcou uma mudança em relação a campanhas oportunistas anteriores baseadas em instaladores trojanizados do Microsoft Teams promovidos por SEO envenenado e malvertising. O loader Potemkin, detectado no mês anterior à publicação dos relatórios, culminou em atividade hands-on-keyboard com movimentação lateral até o controlador de domínio e propagação do EtherRAT em mais de onze hosts.
Na cadeia BabaDeda, a engenharia social ClickFix conduz à execução de comandos PowerShell que entregam o loader. Esse componente evoluiu a partir de atividade documentada desde novembro de 2021, quando o serviço de criptografia BabaDeda era usado para ocultar payloads dentro de pacotes de instalador com aparência legítima. A nova geração preserva o mesmo genoma de código, porém amplia capacidades de sigilo, evasão e seleção de payload. Antes de implantar a carga principal, o loader perfila o host, evita execução em sistemas associados à Rússia ou Belarus e realiza verificações relacionadas a produtos de segurança; em seguida recupera o payload e o injeta em um processo Windows confiável, como svchost.exe.
Uma variante documentada pela Morphisec utiliza um componente intermediário denominado Storage Crypter, que lê material de payload a partir de arquivos externos com aparência de armazenamento — por exemplo List.Control.dat — decodificados momentos antes da execução, enquanto o pacote visível permanece aparentemente legítimo. Outra sequência distribui um arquivo ZIP cujo side-loading de DLL lança DanaBot e SectopRAT (também conhecido como ArechClient). Entre os payloads finais há um backdoor e stealer.NET capaz de coletar dados sensíveis e estabelecer canal cifrado com infraestrutura de comando e controle (C2).
A cadeia Lorem Ipsum parte de pelo menos cinco sites WordPress comprometidos em setores como arquitetura, serviços jurídicos e tecnologia de construção. A isca ClickFix simula uma atualização de segurança do Microsoft Edge e dispara a obtenção de um arquivo ZIP junto a uma versão desatualizada do Node.js 7.10.1, de 2017, usada para executar payloads JavaScript com menor chance de detecção. O JavaScript atua como dropper de componentes adicionais, incluindo script em lote que estabelece persistência via side-loading de DLL maliciosa — mscoree.dll ou msvcp140.dll — que decodifica o Lorem Ipsum Loader embutido. O loader recupera o backdoor Lorem Ipsum a partir de infraestrutura C2 obtida em perfis controlados pelo atacante em plataformas de rede social; o backdoor executa payloads subsequentes recebidos do servidor. A sequência termina com handoff para ferramentas pós-exploração já associadas ao Rapid Brigantine e, em última instância, implantações documentadas de ransomware Rhysida.
A terceira cadeia instala um pacote MSI que solta, via payload HTA, o loader Potemkin — x64 personalizado, ainda não documentado publicamente antes desses achados. Potemkin emprega algoritmo de geração de domínios (DGA) com dicionário interno de mil palavras, identifica a vítima por UUID gravado em hyper-v.ver sob o diretório local do aplicativo, realiza polling de tarefas, recupera e executa DLLs, carrega módulos reflexivamente em memória e protege comunicações C2 e o dicionário DGA com cifra de bytes customizada. A partir dele foram observados EtherRAT e RMMProject, DLL scriptável em Lua com módulos para controle remoto de tela, extração de credenciais de navegador contornando proteções App-Bound Encryption (ABE) do Chromium, captura de tela, coleta de autofill, execução de scripts Lua arbitrários, encerramento de processos de navegador e download de módulos adicionais em tempo de execução.
Após o acesso inicial nessa campanha, operadores realizaram atividade manual: configuraram exclusões no Microsoft Defender, implantaram túneis SOCKS reversos com Chisel, conduziram reconhecimento adicional, estabeleceram túnel Cloudflare para acesso persistente e propagaram lateralmente via WMIExec e SMBExec até alcançar o controlador de domínio. A mudança de instaladores assinados para ClickFix em parte das cadeias foi atribuída à interrupção recente do Fox Tempest (também conhecido como Forging Marauder), ator que oferecia assinatura de malware como serviço com certificados Microsoft Trusted Signing fraudulentos, tornando inviável o modelo anterior baseado em instaladores assinados.
As campanhas concentram-se em ambientes Windows corporativos e de usuário final expostos a engenharia social via navegador. Organizações de educação e serviços financeiros aparecem entre os alvos confirmados da variante BabaDeda. Sites WordPress legítimos comprometidos em múltiplos setores verticais funcionam como vetor inicial ampliado para Lorem Ipsum, aumentando o universo potencial de vítimas em relação ao modelo anterior de portais falsos de download.
A atribuição de alta confiança do ecossistema Lorem Ipsum ao ator financeiramente motivado Vanilla Tempest — também referenciado como Rapid Brigantine, Vice Society e Vice Spider — conecta essas entregas a histórico documentado de famílias de ransomware como Rhysida, BlackCat, Zeppelin e Quantum Locker. O loader BabaDeda mantém vínculo histórico com campanhas contra setores de criptomoedas e Web3, além de entrega de stealers, RATs e LockBit ransomware em atividade anterior.
Além do ecossistema Windows, a técnica ClickFix continua eficaz contra usuários de macOS por meio de telas fraudulentas de verificação de bot, com entregas observadas de stealers como Phexia Stealer e do backdoor HellsUchecker via EtherHiding. Campanhas recentes também exploraram o interesse em ferramentas de inteligência artificial, distribuindo instaladores MSI falsos de Claude para executar payloads PowerShell.
- Endpoints Windows com PowerShell habilitado e usuários expostos a iscas ClickFix em navegador
- Organizações educacionais e financeiras na variante BabaDeda observada em abril de 2026
- Sites WordPress comprometidos em arquitetura, jurídico e construção como origem Lorem Ipsum
- Ambientes onde Node.js 7.10.1 ou side-loading de mscoree.dll e msvcp140.dll não são bloqueados
- Infraestrutura de domínio com controlador exposto a movimentação lateral via WMIExec e SMBExec na cadeia Potemkin
A detecção eficaz exige correlacionar sinais de engenharia social inicial com artefatos de execução em memória, side-loading e comunicação C2. O design modular — separando entrega, armazenamento, execução e implantação de payload — reduz indicadores estáticos no pacote visível; equipes devem priorizar comportamento pós-execução e telemetria de processo.
Para BabaDeda e variantes Storage Crypter, procure leitura imediata de arquivos de dados externos seguida de injeção em svchost.exe ou processos confiáveis, PowerShell oculto e shellcode em memória. Verificações de geolocalização ou locale que abortam execução em sistemas associados à Rússia ou Belarus podem aparecer como consultas ou saídas anômalas antes da carga final.
Na cadeia Lorem Ipsum, sinais incluem download de ZIP após isca de atualização Edge, presença ou execução de Node.js 7.10.1 em endpoint corporativo, scripts em lote criando persistência e side-loading das DLLs citadas. Resolução de C2 ou configuração obtida a partir de perfis em redes sociais — padrão incomum para software legítimo — merece investigação.
Potemkin exige atenção a instalações MSI seguidas de HTA, tráfego DGA derivado de dicionário fixo, arquivo hyper-v.ver no diretório local do aplicativo, módulos carregados reflexivamente e comunicação cifrada customizada. Pós-comprometimento, monitore exclusões adicionadas ao Microsoft Defender, processos Chisel, túneis Cloudflare, uso de WMIExec e SMBExec em sequência com propagação de EtherRAT em múltiplos hosts.
Indicadores mais amplos de ClickFix incluem tentativas de colagem de comandos operacionais a partir de páginas web, mensagens ou agentes de chat, além de campanhas macOS com stealers ou backdoors entregues por verificação de bot falsa.
- Execução de PowerShell ou scripts iniciada após interação do usuário com página de isca ClickFix
- Side-loading de DLL maliciosa e decodificação de payload a partir de arquivos.dat ou containers externos
- Injeção em svchost.exe ou processo confiável após perfilamento e checagens anti-segurança
- Node.js 7.10.1 em endpoint moderno executando JavaScript de arquivo ZIP recém-baixado
- Tráfego DGA, UUID em hyper-v.ver, túneis Chisel ou Cloudflare e propagação EtherRAT em rede interna
A resposta deve começar pela contenção do vetor humano: restringir ou alertar sobre execução de comandos colados a partir de sites, e-mails ou mensagens, alinhando-se a controles emergentes como o aviso de segurança introduzido pela Apple no macOS Tahoe 26.4 quando usuários tentam colar comandos no Terminal a partir de origens externas. Em Windows, políticas de restrição de script, Application Control e bloqueio de PowerShell não assinado ou não administrado reduzem a superfície após a isca ClickFix.
Após suspeita de comprometimento, isole o host, preserve memória e logs de processo, e busque cadeias de side-loading, arquivos de dados externos decodificados em runtime, e persistência via script em lote. Revise exclusões do Microsoft Defender em massa — padrão observado na campanha Potemkin — e audite credenciais de navegador e autofill expostas via RMMProject ou stealers.NET.
Para prevenção estrutural, bloqueie versões obsoletas de runtimes como Node.js 7.10.1, endureça monitoramento de sites WordPress corporativos, segmente redes para limitar WMIExec e SMBExec até o controlador de domínio, e implemente regras de detecção para ferramentas de túnel não autorizadas. Organizações com histórico de contato com ecossistemas atribuídos ao Vanilla Tempest devem preparar playbooks de ransomware Rhysida além da caça aos estágios iniciais ClickFix.
- Implementar controles contra execução de comandos colados a partir de navegador, e-mail ou aplicativos de mensagem
- Monitorar e bloquear side-loading de DLL, PowerShell oculto, injeção em processos confiáveis e runtimes legados não padronizados
- Caçar arquivos hyper-v.ver, padrões DGA de Potemkin, túneis Chisel ou Cloudflare e exclusões suspeitas no Microsoft Defender
- Rotacionar credenciais e tokens após detecção de stealers, RMMProject ou movimentação lateral documentada
- Revisar integridade de sites WordPress e reforçar segmentação antes que loaders entreguem ransomware ou RATs de estágio final
0 Comentários