微软揭露利用Windows终端部署Lumma Stealer恶意软件的ClickFix活动

admin

微软揭露利用Windows终端部署Lumma Stealer恶意软件的ClickFix活动

作者：James Bentley
来源：Internet
引用：https://thehackernews.com/2026/03/microsoft-reveals-clickfix-campaign.html

微软周四透露了名为ClickFix的新一轮大规模社会工程学活动的细节，该活动利用Windows终端应用程序作为激活复杂攻击链和部署Lumma Stealer恶意软件的手段。

该活动于2026年2月被发现，它使用终端模拟程序，而不是指导用户在Windows运行对话框中粘贴命令。

“这个活动指导目标用户使用Windows + X → I快捷键直接启动Windows终端（wt.exe），引导用户进入一个与合法管理工作流程相融合的特权命令执行环境，并显得更加可信，”微软威胁情报团队在一系列X上的帖子中表示。

最新的变体之所以引人注目，是因为它绕过了专门设计用来标记运行对话框滥用的检测机制，不仅如此，它还利用了Windows终端的合法性，欺骗用户运行通过虚假的CAPTCHA页面、故障排除提示或其他验证式诱饵传递的恶意命令。

妥协后的攻击链也非常独特：当用户将来自ClickFix诱饵页面的十六进制编码、XOR压缩命令粘贴到Windows终端会话中时，它会跨越额外的终端/PowerShell实例，最终调用一个负责解码脚本的PowerShell进程。

这进而导致下载ZIP有效载荷和重命名后的7-Zip二进制文件，后者以随机文件名保存到磁盘。然后该工具继续提取ZIP文件的内容，引发一个多阶段攻击链，包括以下步骤：

- 获取更多有效载荷

- 通过计划任务设置持久性

- 配置Microsoft Defender排除项

- 窃取机器和网络数据

- 使用称为QueueUserAPC()的技术部署Lumma Stealer，将恶意软件注入到"chrome.exe"和"msedge.exe"进程

微软表示，“窃取器针对高价值浏览器数据，包括Web数据和登录数据，收集存储的凭据并将其传输到攻击者控制的基础设施。”

微软还表示，它还检测到第二种攻击路径，其中，当压缩命令粘贴到Windows终端时，它会通过"cmd.exe"将随机命名的批处理脚本下载到"AppData\Local"文件夹，以便将Visual Basic脚本写入Temp文件夹（即%TEMP%）。

“然后通过带有/launched命令行参数的cmd.exe执行批处理脚本。相同的批处理脚本随后通过MSBuild.exe执行，导致LOLBin滥用，”它补充说。“脚本连接到加密区块链RPC端点，表明了etherhiding技术。它还通过QueueUserAPC()基于代码注入到chrome.exe和msedge.exe进程以收集Web数据和登录数据。”