Интересно Microsoft раскрыла кампанию ClickFix, использующую Windows Terminal для распространения Lumma Stealer.

[Admin]

​

Microsoft раскрыла детали новой широкомасштабной кампании социальной инженерии ClickFix, которая использует приложение Windows Terminal для активации сложной цепочки атак и распространения вредоносного ПО Lumma Stealer.

Кампания, замеченная в феврале 2026 года, использует эмулятор терминала вместо традиционного метода запуска диалогового окна Windows Run. Это позволяет злоумышленникам обойти системы обнаружения и заставить пользователей выполнять вредоносные команды.

Кампания ClickFit направлена на обман пользователей через поддельные страницы CAPTCHA и другие методы социальной инженерии. После выполнения вредоносных команд в Windows Terminal запускается сложная цепочка атак, включающая загрузку дополнительных полезных нагрузок, настройку постоянства через запланированные задачи и исключения в Microsoft Defender. В конечном итоге злоумышленники используют технику QueueUserAPC() для внедрения Lumma Stealer в процессы браузеров Chrome и Edge, чтобы украсть данные, включая логины и пароли. Microsoft также обнаружила второй путь атаки, связанный с использованием скриптов и подключением к блокчейн-узлам.