Microsoft раскрыла масштабную кампанию социальной инженерии ClickFix, в рамках которой киберпреступники злоупотребляют приложением Windows Terminal (wt.exe) для запуска сложной цепочки атаки и установки вредоносной программы Lumma Stealer. Активность была зафиксирована в феврале 2026 года и нацелена на кражу сохранённых в браузерах учётных данных.
Социальная инженерия через Windows Terminal вместо окна «Выполнить»
Ранее многие защитные решения отслеживали попытки заставить пользователя открыть окно Run / «Выполнить» и вставить туда подозрительную команду. В новой версии кампании ClickFix злоумышленники меняют тактику и предлагают жертве использовать сочетание клавиш Windows + X → I для прямого запуска Windows Terminal.
По данным Microsoft Threat Intelligence, такая схема выглядит более правдоподобно для пользователя: терминал ассоциируется с административными задачами и легитимной работой ИТ-специалистов. В рамках сценария жертве показывают поддельные CAPTCHA, «страницы проверки», окна псевдо-диагностики или «руководства по устранению неполадок», убеждая вручную скопировать и вставить команду в терминал.
Ключевая особенность подхода — обход детектов, заточенных именно под злоупотребление диалогом «Выполнить». Использование легитимного Windows Terminal помогает атакующим скрыться в обычных административных операциях.
Техническая цепочка атаки ClickFix и установка Lumma Stealer
Hex/XOR-команда и разворачивание PowerShell
На странице-ловушке ClickFix пользователю предлагается скопировать длинную строку — hex-кодированную и сжатую с помощью XOR-компрессии команду — и вставить её в сеанс Windows Terminal. После вставки запускается цепочка из дополнительных экземпляров Terminal и PowerShell, в результате чего создаётся отдельный процесс PowerShell, отвечающий за декодирование и исполнение вредоносного скрипта.
Загрузка ZIP-архива и злоупотребление 7-Zip
Декодированный PowerShell-скрипт загружает на диск ZIP-пакет и легитимный, но переименованный исполняемый файл 7-Zip со случайным именем. Утилита используется как LOLBin (Living-off-the-Land Binary) — то есть как законная программа, выполняющая злонамеренные действия, что значительно усложняет обнаружение атаки по поведенческим признакам.
После распаковки запускается многоступенчатая цепочка, конечной целью которой является развёртывание Lumma Stealer. Этот инфостилер сосредоточен на краже высокозначимых браузерных артефактов, таких как файлы Web Data и Login Data, где хранятся сохранённые логины, пароли и другая чувствительная информация. Собранные данные отправляются на инфраструктуру, контролируемую атакующими.
Альтернативный вектор: batch-скрипты, MSBuild и etherhiding
Microsoft также описывает второй обнаруженный сценарий. При вставке сжатой команды в Windows Terminal она инициирует загрузку случайно названного batch-скрипта (.bat) в каталог %LocalAppData% с помощью cmd.exe. Далее этот скрипт создаёт и записывает Visual Basic Script (VBS) в папку %TEMP%.
Затем batch-файл запускается через cmd.exe с аргументом командной строки /launched. Тот же скрипт дополнительно выполняется через MSBuild.exe, что представляет собой典ичный пример LOLBin-абьюза, когда встроенные в Windows инструменты разработки применяются для выполнения вредоносного кода.
Скрипт устанавливает соединения с Crypto Blockchain RPC endpoints, что указывает на использование техники etherhiding: управление и обмен данными маскируются под легитимные обращения к блокчейн-узлам. Дополнительно применяется внедрение кода на основе QueueUserAPC() в процессы chrome.exe и msedge.exe, что позволяет незаметно извлекать те же ключевые файлы Web Data и Login Data прямо из работающих браузеров.
Почему кампания ClickFix с Lumma Stealer опасна
Атака сочетает две сильные тенденции современной киберпреступности: глубокую социальную инженерию и массовое использование инфостилеров по модели MaaS (Malware-as-a-Service). По оценкам отраслевых отчётов, значительная часть успешных компрометаций начинается именно с обмана пользователя, а не с эксплуатации уязвимостей.
Организации особенно уязвимы там, где широко применяются Windows Terminal, PowerShell, 7-Zip и MSBuild для административных задач. Блокировать эти инструменты полностью часто невозможно, что делает ставку на обучение пользователей и точечный поведенческий мониторинг критически важной.
Практические рекомендации по защите
Во-первых, обучение сотрудников. Пользователей необходимо чётко информировать: никогда не копировать и не вставлять команды из веб-страниц в Windows Terminal, PowerShell или cmd.exe, особенно если это обосновывается якобы «проверкой», «разблокировкой» или «устранением ошибки браузера».
Во-вторых, технические меры. Рекомендуется:
- ограничить или контролировать запуск wt.exe, PowerShell и MSBuild.exe с помощью AppLocker, WDAC или аналогичных решений;
- настроить EDR/антивирус на выявление подозрительных цепочек: Windows Terminal → PowerShell → загрузка ZIP → запуск переименованного 7-Zip;
- отслеживать создание и запуск случайно названных .bat и .vbs в
%LocalAppData%и%TEMP%; - контролировать обращения к блокчейн RPC-endpoints, если они нетипичны для инфраструктуры;
- использовать решения, детектирующие QueueUserAPC()-инъекции и злоупотребление LOLBin.
В-третьих, защита учётных данных. Следует минимизировать хранение паролей в браузерах, активно внедрять менеджеры паролей и многофакторную аутентификацию, а также регулярно проверять и очищать сохранённые логины в Chrome, Edge и других браузерах.
Кампания ClickFix демонстрирует, насколько быстро атакующие адаптируются к защитным мерам и используют легитимные инструменты, такие как Windows Terminal, для скрытной доставки Lumma Stealer и кражи браузерных паролей. Постоянное обучение пользователей, укрепление политик работы с административными утилитами и оперативное внедрение рекомендаций поставщиков, включая отчёты Microsoft Threat Intelligence, значительно снижают риск успешной атаки и потери критически важных данных.
