Vào thứ Năm, Microsoft đã công bố chi tiết về một chiến dịch kỹ thuật xã hội ClickFix quy mô lớn mới đã khai thác ứng dụng Windows Terminal để kích hoạt một chuỗi tấn công tinh vi và triển khai phần mềm độc hại Lumma Stealer.
Hoạt động này, được quan sát vào tháng 2 năm 2026, sử dụng chương trình giả lập Terminal thay vì hướng dẫn người dùng khởi chạy hộp thoại Windows Run và dán một lệnh vào đó.
"Chiến dịch này hướng dẫn các mục tiêu sử dụng phím tắt Windows + X → I để khởi chạy trực tiếp Windows Terminal (wt.exe), dẫn dắt người dùng vào một môi trường thực thi lệnh đặc quyền hòa lẫn vào các quy trình làm việc quản trị hợp pháp và có vẻ đáng tin cậy hơn đối với người dùng," nhóm Microsoft Threat Intelligence cho biết trong một loạt bài đăng trên X.
Điều khiến biến thể mới nhất đáng chú ý là nó bỏ qua các cơ chế phát hiện được thiết kế đặc biệt để gắn cờ việc lạm dụng hộp thoại Run, chưa kể đến việc tận dụng tính hợp pháp của Windows Terminal để lừa những người dùng không nghi ngờ chạy các lệnh độc hại được phân phối thông qua các trang CAPTCHA giả mạo, lời nhắc khắc phục sự cố hoặc các mồi nhử kiểu xác minh khác.
Chuỗi tấn công sau khi bị xâm phạm cũng rất độc đáo: khi người dùng dán một lệnh được mã hóa hex, nén XOR được sao chép từ trang mồi ClickFix vào phiên Windows Terminal, nó sẽ tạo ra các phiên Terminal/PowerShell bổ sung để cuối cùng gọi một tiến trình PowerShell chịu trách nhiệm giải mã script.
Điều này, đến lượt nó, dẫn đến việc tải xuống một ZIP payload và một file nhị phân 7-Zip hợp pháp nhưng đã được đổi tên, file này sau đó được lưu vào đĩa với một tên file ngẫu nhiên. Tiện ích này sau đó tiến hành giải nén nội dung của file ZIP, kích hoạt một chuỗi tấn công đa giai đoạn bao gồm các bước sau -
- Truy xuất thêm các payload
- Thiết lập cơ chế persistence thông qua các scheduled tasks
- Cấu hình các loại trừ cho Microsoft Defender
- Trích xuất dữ liệu máy và mạng
- Triển khai Lumma Stealer sử dụng kỹ thuật có tên QueueUserAPC() bằng cách inject phần mềm độc hại vào các tiến trình "chrome.exe" và "msedge.exe"
"Stealer này nhắm mục tiêu vào các artifact trình duyệt có giá trị cao, bao gồm Web Data và Login Data, thu thập thông tin đăng nhập được lưu trữ và exfiltrate chúng đến hạ tầng do kẻ tấn công kiểm soát," Microsoft cho biết.
Nhà sản xuất Windows cho biết họ cũng phát hiện một con đường tấn công thứ hai, theo đó, khi lệnh nén được dán vào Windows Terminal, nó sẽ tải xuống một batch script có tên ngẫu nhiên vào thư mục "AppData\Local" bằng cách sử dụng "cmd.exe" để ghi một Visual Basic Script vào thư mục Temp (hay còn gọi là %TEMP%).
"Batch script sau đó được thực thi thông qua cmd.exe với đối số dòng lệnh /launched. Cùng một batch script sau đó được thực thi thông qua MSBuild.exe, dẫn đến việc lạm dụng LOLBin," công ty cho biết thêm. "Script này kết nối với các Crypto Blockchain RPC endpoints, cho thấy một kỹ thuật etherhiding. Nó cũng thực hiện QueueUserAPC()-based code injection vào các tiến trình chrome.exe và msedge.exe để thu thập Web Data và Login Data."
