ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

В четверг компания Microsoft раскрыла подробности новой широкомасштабной кампании социальной инженерии ClickFix, в которой приложение Windows Terminal использовалось для активации сложной цепочки атак и развертывания вредоносного ПО Lumma Stealer.

Эта деятельность, наблюдавшаяся в феврале 2026 года, использует программу эмулятора терминала вместо того, чтобы просить пользователей запустить диалоговое окно «Выполнить» Windows и вставить в него команду.

«Эта кампания предлагает целевым пользователям использовать сочетание клавиш Windows + X → I для прямого запуска Windows Terminal (wt.exe), перенаправляя их в привилегированную среду выполнения команд, которая вписывается в легитимные административные рабочие процессы и выглядит более надежной для пользователей», — сообщила команда Microsoft Threat Intelligence в серии постов на X.

Что делает последний вариант примечательным, так это то, что он обходит средства обнаружения, специально разработанные для выявления злоупотребления диалоговым окном «Выполнить», не говоря уже о том, что он использует легитимность Windows Terminal, чтобы обманом заставить ничего не подозревающих пользователей запустить вредоносные команды, доставленные через поддельные страницы CAPTCHA, подсказки по устранению неполадок или другие приманки в стиле проверки.

Цепочка атак после взлома также уникальна: когда пользователь вставляет шестнадцатерично закодированную, сжатую с помощью XOR команду, скопированную со страницы-приманки ClickFix, в сеанс Windows Terminal, она охватывает дополнительные экземпляры Terminal/PowerShell, чтобы в конечном итоге вызвать процесс PowerShell, ответственный за декодирование скрипта.

Это, в свою очередь, приводит к загрузке ZIP-файла с полезной нагрузкой и легитимного, но переименованного двоичного файла 7-Zip, который сохраняется на диске с рандомизированным именем файла. Затем утилита приступает к извлечению содержимого ZIP-файла, запуская многоэтапную цепочку атак, которая включает следующие шаги:

Настройка постоянного присутствия с помощью запланированных задач

Настройка исключений Microsoft Defender

Экстракция данных о компьютере и сети

Развертывание Lumma Stealer с помощью техники QueueUserAPC() путем внедрения вредоносного ПО в процессы «chrome.exe» и «msedge.exe»

«Стеллер нацелен на ценные артефакты браузера, включая веб-данные и данные для входа, собирая сохраненные учетные данные и выводя их в инфраструктуру, контролируемую злоумышленниками», — заявила Microsoft.

Производитель Windows также сообщил, что обнаружил второй путь атаки, в рамках которого, когда сжатая команда вставляется в Windows Terminal, она загружает пакетный скрипт со случайным именем в папку «AppData\Local» с помощью «cmd.exe», чтобы записать скрипт Visual Basic в папку Temp (также известную как %TEMP%).

«Затем пакетный скрипт выполняется через cmd.exe с аргументом командной строки /launched. Затем тот же пакетный скрипт выполняется через MSBuild.exe, что приводит к злоупотреблению LOLBin», — добавила компания. «Скрипт подключается к конечным точкам Crypto Blockchain RPC, что указывает на использование техники etherhiding. Он также выполняет вставку кода на основе QueueUserAPC() в процессы chrome.exe и msedge.exe для сбора веб-данных и данных для входа».