Microsoft Threat Intelligence повідомляє про масштабну кампанію соціальної інженерії ClickFix, у рамках якої зловмисники зловживають легітимним застосунком Windows Terminal (wt.exe) для запуску складного ланцюга атаки та розгортання інфостілера Lumma Stealer. Активність фіксується з лютого 2026 року й орієнтована насамперед на крадіжку збережених у браузерах облікових даних.
Соціальна інженерія: Windows Terminal замість вікна «Виконати»
Традиційні фішингові сценарії часто змушують користувача відкрити діалог Run / «Виконати» і вставити туди підозрілу команду. У кампанії ClickFix тактика змінюється: жертві пропонують використати комбінацію клавіш Windows + X → I для безпосереднього запуску Windows Terminal.
За спостереженнями Microsoft, такий підхід виглядає для користувача більш правдоподібним: термінал асоціюється з адміністративними задачами та роботою ІТ-фахівців. На шахрайських сторінках розміщуються підроблені CAPTCHA, «сторінки перевірки», псевдодіагностика або «покрокові інструкції з усунення помилок», які переконують вручну скопіювати й виконати команду в Windows Terminal.
Ключова ідея — обійти системи виявлення, налаштовані саме на зловживання діалогом «Виконати». Використання wt.exe дозволяє атаці залишатися в «тіні» типових адміністративних операцій й ускладнює аналіз подій безпеки.
Технічна реалізація атаки ClickFix та розгортання Lumma Stealer
Hex/XOR-навантаження і розгортання PowerShell
На фішинговій сторінці ClickFix користувачеві пропонують скопіювати довгий рядок — hex-кодовану та стиснену за допомогою XOR-компресії команду — і вставити його у сеанс Windows Terminal. Після вставки запускається ланцюг додаткових екземплярів Terminal і PowerShell, у результаті чого створюється окремий процес PowerShell, відповідальний за декодування й виконання шкідливого скрипта.
Завантаження ZIP-архіву та використання 7-Zip як LOLBin
Декодований PowerShell-скрипт завантажує на диск ZIP-архів та легітимний, але перейменований виконуваний файл 7-Zip із випадковою назвою. Ця утиліта виступає як LOLBin (Living-off-the-Land Binary) — законний інструмент, який виконує шкідливі дії, що значно ускладнює виявлення атаки на основі поведінкових ознак.
Після розпакування запускається багатоступенева послідовність, кінцевою метою якої є інсталяція Lumma Stealer. Інфостілер орієнтований на викрадення високозначимих артефактів браузера, таких як файли Web Data і Login Data, де зберігаються логіни, паролі й інші конфіденційні дані. Викрадену інформацію передають на інфраструктуру, що контролюється кіберзлочинцями.
Альтернативний вектор: batch-скрипти, MSBuild та etherhiding
Microsoft описує й другий сценарій використання Windows Terminal у рамках ClickFix. Після вставки стисненої команди вона ініціює завантаження випадково названого batch-файла (.bat) у каталог %LocalAppData% за допомогою cmd.exe. Далі цей .bat створює та записує Visual Basic Script (VBS) у папку %TEMP%.
Потім batch-файл повторно запускається через cmd.exe з аргументом /launched, а також виконується за допомогою MSBuild.exe. Це типовий приклад зловживання LOLBin, коли вбудовані в Windows інструменти розробки використовуються для виконання шкідливого коду без додаткових двійкових файлів.
Скрипт встановлює з’єднання з Crypto Blockchain RPC endpoints, що вказує на застосування техніки etherhiding — приховання керування та обміну даними в легітимному трафіку до блокчейн-вузлів. Додатково використовується ін’єкція коду через QueueUserAPC() у процеси chrome.exe і msedge.exe, що дозволяє непомітно витягувати файли Web Data та Login Data безпосередньо з працюючих браузерів.
Чому кампанія ClickFix та Lumma Stealer становлять підвищений ризик
ClickFix поєднує дві стійкі тенденції сучасної кіберзлочинності: глибоку соціальну інженерію та використання інфостілерів за моделлю MaaS (Malware-as-a-Service). Галузеві звіти провідних вендорів безпеки послідовно показують, що значна частка успішних інцидентів починається саме з обману користувача, а не з експлуатації технічних вразливостей.
Особливо вразливими є організації, де щоденно застосовуються Windows Terminal, PowerShell, 7-Zip і MSBuild для адміністрування. Повна заборона цих інструментів, як правило, неможлива, тому критично важливо поєднувати навчання користувачів із точковим поведінковим моніторингом та EDR-рішеннями.
Рекомендації з протидії атакам через Windows Terminal і Lumma Stealer
1. Підвищення обізнаності користувачів. Співробітників слід однозначно інформувати: ніколи не копіювати та не вставляти команди з веб-сторінок у Windows Terminal, PowerShell або cmd.exe, особливо якщо це пояснюється «перевіркою браузера», «розблокуванням доступу» чи «виправленням помилки».
2. Технічні заходи захисту. Рекомендується обмежити або контролювати запуск wt.exe, PowerShell і MSBuild.exe за допомогою AppLocker, WDAC чи аналогічних технологій; налаштувати EDR/антивірус на виявлення підозрілих ланцюгів типу Windows Terminal → PowerShell → завантаження ZIP → запуск перейменованого 7-Zip; відстежувати створення й запуск випадково названих .bat та .vbs у %LocalAppData% і %TEMP%; контролювати звернення до Blockchain RPC endpoints, якщо вони нетипові для інфраструктури; застосовувати рішення, здатні виявляти ін’єкції QueueUserAPC() та зловживання LOLBin.
3. Захист облікових даних. Важливо мінімізувати зберігання паролів у браузерах, впроваджувати окремі менеджери паролів та багатофакторну автентифікацію, а також регулярно переглядати й очищати збережені логіни в Chrome, Edge та інших оглядачах.
Кампанія ClickFix демонструє, наскільки швидко зловмисники адаптуються до наявних засобів захисту та використовують легітимні інструменти Windows, зокрема Windows Terminal, для прихованої доставки Lumma Stealer і викрадення браузерних паролів. Систематичне навчання персоналу, оновлення політик роботи з адміністративними утилітами й оперативне впровадження рекомендацій постачальників безпеки, включно з аналітикою Microsoft Threat Intelligence, суттєво знижують імовірність успішної атаки та втрати критично важливих даних. Регулярний перегляд цих підходів і інвестування в кібергігієну стають не опцією, а необхідною умовою стійкості сучасного бізнесу.
