详细内容或原文请订阅后点击阅览
微软警告 ClickFix 活动利用 Windows Terminal 传播 Lumma Stealer
Microsoft 警告 ClickFix 活动使用 Windows Terminal 通过社会工程攻击传播 Lumma Stealer。微软公布了一项新的 ClickFix 活动,攻击者利用 Windows 终端运行复杂的攻击链,最终部署 Lumma Stealer 恶意软件。该活动利用社交工程诱骗用户执行恶意命令,凸显 Windows 面临的日益增长的风险 [...]
来源:Security Affairs _恶意软件微软警告 ClickFix 活动利用 Windows Terminal 传播 Lumma Stealer
Microsoft 警告 ClickFix 活动使用 Windows Terminal 通过社会工程攻击传播 Lumma Stealer。
微软透露了一项新的 ClickFix 活动,攻击者利用 Windows 终端运行复杂的攻击链,最终部署 Lumma Stealer 恶意软件。该活动利用社交工程诱骗用户执行恶意命令,凸显 Windows 环境面临的日益增长的风险。
2026 年 2 月,Microsoft Defender 专家发现了一场利用 Windows 终端的广泛 ClickFix 活动。研究人员注意到,攻击者没有采用通常的“运行”对话框方法,而是引导用户通过 Windows + X → I 启动终端,从而创建了一个看起来可信的管理环境。这会绕过运行对话框检测,同时提示目标粘贴来自虚假验证码、故障排除提示或验证式诱饵的恶意 PowerShell 命令,从而将攻击无缝地融入到常规 Windows 工作流程中。
“与传统的 Win + R → 粘贴 → 执行技术不同,该活动指示目标使用 Windows + X → I 快捷方式直接启动 Windows 终端 (wt.exe),引导用户进入特权命令执行环境,该环境融入合法的管理工作流程,并且对用户来说更值得信任。”阅读 Microsoft 在 X 上发布的帖子。
此 ClickFix 活动还因其泄露后的操作而引人注目。用户将十六进制编码、异或压缩的命令粘贴到 Windows 终端中,生成对其进行解码的 PowerShell 进程。该脚本下载重命名的 7-Zip 和 ZIP 有效负载,然后提取并执行多阶段攻击,从而启用额外的有效负载、通过计划任务进行持久性、Defender 规避以及机器和网络数据的渗透。
Microsoft Defender 识别了与 ClickFix 相关的多个威胁组件,并提供了有关如何防御此活动的指导。
皮尔路易吉·帕格尼尼