微软揭露利用Windows终端部署Lumma窃密木马的ClickFix攻击活动

微软在周四披露了一项新的大规模ClickFix社会工程攻击活动的详细信息，该活动利用Windows终端应用程序作为激活复杂攻击链并部署Lumma窃密木马的途径。

这项于2026年2月观察到的活动使用了终端模拟器程序，而不是指示用户启动Windows运行对话框并将命令粘贴到其中。

微软威胁情报团队在X平台的一系列帖子中表示："此次攻击活动指示目标使用Windows + X I快捷键直接启动Windows终端（wt.exe），引导用户进入一个特权命令执行环境，该环境融入合法的管理工作流程中，对用户来说显得更加可信。"

这个最新变种的显著特点在于，它绕过了专门用于标记运行对话框滥用的检测机制，同时利用Windows终端的合法性来欺骗毫无戒心的用户运行通过虚假CAPTCHA页面、故障排除提示或其他验证式诱饵传递的恶意命令。

入侵后的攻击链也很独特：当用户将从ClickFix诱饵页面复制的十六进制编码、XOR压缩命令粘贴到Windows终端会话中时，它会生成额外的终端/PowerShell实例，最终调用负责解码脚本的PowerShell进程。

这反过来会导致下载一个ZIP载荷和一个合法但已重命名的7-Zip二进制文件，后者以随机文件名保存到磁盘。然后该工具会提取ZIP文件的内容，触发一个多阶段攻击链，涉及以下步骤：

检索更多载荷

通过计划任务建立持久性

配置Microsoft Defender排除项

窃取机器和网络数据

使用名为QueueUserAPC()的技术部署Lumma窃密木马，将恶意软件注入"chrome.exe"和"msedge.exe"进程

微软表示："该窃密木马针对高价值的浏览器数据，包括Web Data和Login Data，收集存储的凭据并将其窃取到攻击者控制的基础设施。"

这家Windows制造商表示，它还检测到第二条攻击路径，在该路径中，当压缩命令被粘贴到Windows终端时，它会通过"cmd.exe"将一个随机命名的批处理脚本下载到"AppData\Local"文件夹，以便将Visual Basic脚本写入Temp文件夹（即%TEMP%）。

微软补充说："然后通过cmd.exe使用/launched命令行参数执行批处理脚本。随后通过MSBuild.exe执行同一批处理脚本，导致LOLBin滥用。该脚本连接到加密区块链RPC端点，表明使用了etherhiding技术。它还执行基于QueueUserAPC()的代码注入到chrome.exe和msedge.exe进程中，以收集Web Data和Login Data。"

Q&A

Q1：ClickFix攻击活动是如何利用Windows终端进行攻击的？

A：ClickFix攻击活动指示目标用户使用Windows + X I快捷键直接启动Windows终端，引导用户进入特权命令执行环境。当用户将从诱饵页面复制的十六进制编码、XOR压缩命令粘贴到终端中时，会触发多阶段攻击链，最终部署Lumma窃密木马。这种方式绕过了针对运行对话框滥用的检测机制，利用Windows终端的合法性来欺骗用户。

Q2：Lumma窃密木马主要窃取哪些信息？

A：Lumma窃密木马主要针对高价值的浏览器数据进行窃取，包括Web Data和Login Data等浏览器存储的凭据信息。攻击者使用QueueUserAPC()技术将恶意软件注入到chrome.exe和msedge.exe等浏览器进程中，收集这些敏感数据后将其窃取到攻击者控制的基础设施。

Q3：这次攻击活动与以往的ClickFix攻击有什么不同？

A：这次攻击活动的主要不同在于使用Windows终端而不是传统的Windows运行对话框作为攻击入口。这种方式能够绕过专门针对运行对话框滥用的检测机制，同时Windows终端作为合法的管理工具更容易获得用户信任。此外，攻击链还采用了多阶段载荷部署、etherhiding技术和LOLBin滥用等复杂手段。