Microsoft hat eine umfangreiche Social-Engineering-Kampagne namens ClickFix analysiert, in der Cyberkriminelle Windows Terminal (wt.exe) gezielt ausnutzen, um den Infostealer Lumma Stealer zu installieren. Die Aktivität wurde im Februar 2026 beobachtet und zielt primär darauf ab, in Browsern gespeicherte Zugangsdaten und andere sensible Daten zu stehlen.
Neuer Social-Engineering-Trick: Windows Terminal statt „Ausführen“-Dialog
Viele Sicherheitslösungen erkennen inzwischen Versuche, Anwender zum Öffnen des klassischen Ausführen-Dialogs (Win+R) und zum Ausführen verdächtiger Befehle zu bewegen. Die ClickFix-Akteure umgehen diese Hürde, indem sie Benutzer auffordern, die Tastenkombination Windows + X → I zu verwenden, um direkt Windows Terminal zu starten.
Laut Microsoft Threat Intelligence wirkt dieses Vorgehen für viele Nutzer plausibler, weil der Terminal häufig mit administrativen Aufgaben und legitimer IT-Arbeit assoziiert wird. Auf gefälschten Support- oder Fehlerseiten werden unter anderem Schein-CAPTCHAs, „Überprüfungsseiten“ oder angebliche „Anleitungen zur Problembehebung“ angezeigt, die Anwender dazu bringen sollen, manuell einen bereitgestellten Befehl in Windows Terminal zu kopieren und auszuführen.
Der entscheidende Vorteil für die Angreifer: Detektionsmechanismen, die explizit auf Missbrauch des Dialogs „Ausführen“ trainiert sind, greifen hier nicht. Die Nutzung eines legitimen Tools wie Windows Terminal erschwert die Erkennung über rein verhaltensbasierte Regeln erheblich.
Technische Analyse: Von Hex/XOR-Befehl zu Lumma Stealer
Komprimierter Befehl, verschachtelte Terminals und PowerShell
Auf den präparierten ClickFix-Seiten wird dem Opfer eine lange Zeichenkette präsentiert – ein hex-kodierter und per XOR komprimierter Befehl, der in Windows Terminal eingefügt werden soll. Nach dem Einfügen startet eine Kette weiterer wt.exe– und PowerShell-Instanzen, bis ein separater PowerShell-Prozess entsteht, der für das Dekodieren und Ausführen des Schadskripts verantwortlich ist.
Download von ZIP-Archiv und Missbrauch von 7-Zip als LOLBin
Der entschlüsselte PowerShell-Code lädt anschließend ein ZIP-Archiv sowie eine legitime, aber umbenannte Kopie von 7-Zip mit zufälligem Dateinamen auf das System. Diese Binary wird als LOLBin (Living-off-the-Land Binary) missbraucht – also als eigentlich vertrauenswürdiges Programm, das für bösartige Zwecke eingesetzt wird. Dadurch wird eine Erkennung durch klassische Signatur- oder einfache Verhaltensregeln deutlich erschwert.
Nach dem Entpacken startet eine mehrstufige Kette von Loadern und Hilfsmodulen, deren Endziel die Installation von Lumma Stealer ist. Der Infostealer konzentriert sich insbesondere auf Browser-Artefakte mit hohem Wert, darunter die Dateien Web Data und Login Data, in denen unter anderem gespeicherte Logins und Passwörter abgelegt sind. Die abgegriffenen Informationen werden an von den Angreifern kontrollierte Server exfiltriert.
Zweitvariante: Batch-Skripte, MSBuild und etherhiding
Neben der beschriebenen Hauptkette dokumentiert Microsoft eine zweite Angriffslinie. Hier lädt die komprimierte Terminal-Kommandokette zunächst ein zufällig benanntes Batch-Skript (.bat) nach %LocalAppData%, ausgeführt über cmd.exe. Dieses Skript erzeugt anschließend ein Visual Basic Script (VBS) im Ordner %TEMP% und schreibt den entsprechenden Code hinein.
Das Batch-Skript wird dann erneut über cmd.exe mit dem Argument /launched gestartet und zusätzlich über MSBuild.exe ausgeführt. Letzteres ist ein typischer LOLBin-Missbrauch: Ein legitimes .NET-Build-Werkzeug wird zweckentfremdet, um Schadcode zu laden, ohne neue, auffällige Executables zu installieren.
Im weiteren Verlauf baut das Skript Verbindungen zu Crypto-Blockchain-RPC-Endpunkten auf – ein Hinweis auf die Technik etherhiding, bei der Command-and-Control-Verkehr in scheinbar legitimen Blockchain-Abfragen versteckt wird. Zusätzlich erfolgt eine Codeinjektion per QueueUserAPC() in Prozesse wie chrome.exe und msedge.exe, um unauffällig auf die Dateien Web Data und Login Data direkt aus laufenden Browsern zuzugreifen.
Gefahrenspotenzial: Social Engineering trifft Malware-as-a-Service
Die ClickFix-Kampagne verbindet zwei dominante Trends der aktuellen Bedrohungslandschaft: ausgefeilte Social-Engineering-Taktiken und die Nutzung von Infostealern im Malware-as-a-Service-Modell (MaaS), zu denen Lumma Stealer gehört. Branchenberichte wie der Verizon Data Breach Investigations Report und die ENISA Threat Landscape zeigen seit Jahren, dass ein großer Teil erfolgreicher Kompromittierungen nicht auf Zero-Day-Exploits, sondern auf das gezielte Ausnutzen menschlicher Fehlentscheidungen zurückgeht.
Organisationen sind besonders exponiert, wenn Windows Terminal, PowerShell, 7-Zip und MSBuild breit für Administration, Development oder DevOps genutzt werden. Diese Werkzeuge pauschal zu blockieren ist in der Praxis selten möglich. Damit rücken gezielte Awareness-Maßnahmen und ein fein granularer, verhaltensbasierter Schutz in den Mittelpunkt jeder Abwehrstrategie.
Empfohlene Schutzmaßnahmen gegen Windows-Terminal-Angriffe
Unternehmen sollten Nutzer klar und wiederholt darauf hinweisen, niemals Befehle aus Webseiten in Windows Terminal, PowerShell oder cmd.exe zu kopieren – insbesondere nicht, wenn dies mit „Verifikation“, „Freischaltung“ oder „Behebung von Browserfehlern“ begründet wird. Solche Szenarien sind ein zentrales Erkennungsmerkmal der ClickFix-Taktik.
Auf technischer Ebene empfiehlt sich der kontrollierte Einsatz von AppLocker, Windows Defender Application Control (WDAC) oder vergleichbaren Lösungen, um die Ausführung von wt.exe, PowerShell und MSBuild.exe zu regulieren. Sicherheitslösungen wie EDR sollten auf verdächtige Ketten wie Windows Terminal → PowerShell → Download eines ZIP-Archivs → Start eines umbenannten 7-Zip trainiert werden.
Darüber hinaus ist es sinnvoll, die Erstellung und Ausführung zufällig benannter .bat- und .vbs-Dateien in %LocalAppData% und %TEMP% zu überwachen, ungewöhnliche Verbindungen zu Blockchain-RPC-Endpunkten zu prüfen und Mechanismen zur Erkennung von QueueUserAPC()-Injektionen sowie generellem LOLBin-Missbrauch zu etablieren.
Zur Härtung von Zugangsdaten sollten Unternehmen das Speichern von Passwörtern im Browser minimieren, dedizierte Passwortmanager bereitstellen, konsequent Multi-Faktor-Authentifizierung einsetzen und regelmäßig gespeicherte Logins in Chrome, Edge und anderen Browsern überprüfen und bereinigen. Wer diese Maßnahmen mit einer kontinuierlichen Auswertung von Anbieterberichten – etwa von Microsoft Threat Intelligence – kombiniert, senkt das Risiko erheblich, Opfer von Kampagnen wie ClickFix zu werden und kritische Kontodaten zu verlieren.
