微软揭露利用Windows终端部署Lumma窃密木马的新型ClickFix攻击活动

微软公司于周四披露了一场新型大规模ClickFix社会工程学攻击活动的详细信息，该攻击利用Windows终端应用程序作为激活复杂攻击链并部署Lumma Stealer恶意软件的途径。

该攻击活动于2026年2月被观察到，与以往指示用户启动Windows运行对话框并粘贴命令的攻击方式不同，此次攻击使用了终端模拟器程序。

微软威胁情报团队在X平台的一系列帖子中表示："该攻击活动指示目标使用Windows + X → I快捷键直接启动Windows终端（wt.exe），将用户引导至特权命令执行环境，这种环境能够融入合法的管理工作流程中，对用户来说显得更加可信。"

最新变种的显著之处在于，它绕过了专门用于标记运行对话框滥用的检测机制，更不用说利用Windows终端的合法性来欺骗毫无戒心的用户，通过虚假的CAPTCHA页面、故障排除提示或其他验证式诱饵来运行恶意命令。

入侵后的攻击链也很独特：当用户将从ClickFix诱饵页面复制的十六进制编码、XOR压缩命令粘贴到Windows终端会话中时，它会跨越额外的终端/PowerShell实例，最终调用负责解码脚本的PowerShell进程。

这反过来又导致下载ZIP载荷和一个合法但重命名的7-Zip二进制文件，后者以随机文件名保存到磁盘。然后该工具继续提取ZIP文件的内容，触发涉及以下步骤的多阶段攻击链：

• 检索更多载荷
• 通过计划任务设置持久化
• 配置Microsoft Defender排除项
• 外泄机器和网络数据
• 使用称为QueueUserAPC()的技术将Lumma Stealer注入chrome.exe和msedge.exe进程来部署该恶意软件

微软表示："该窃密木马针对高价值的浏览器工件，包括Web数据和登录数据，收集存储的凭据并将其外泄到攻击者控制的基础设施。"

微软公司还表示检测到第二条攻击路径，作为其中的一部分，当压缩命令被粘贴到Windows终端时，它会通过cmd.exe将随机命名的批处理脚本下载到AppData\Local文件夹，以便将Visual Basic脚本写入Temp文件夹（即%TEMP%）。

微软补充道："然后通过带有/launched命令行参数的cmd.exe执行批处理脚本。相同的批处理脚本随后通过MSBuild.exe执行，导致LOLBin滥用。该脚本连接到加密区块链RPC端点，表明使用了etherhiding技术。它还执行基于QueueUserAPC()的代码注入到chrome.exe和msedge.exe进程中，以收集Web数据和登录数据。"

来源：The Hacker News