微软揭露利用Windows终端部署Lumma Stealer恶意软件的ClickFix活动
微软揭露利用Windows终端部署Lumma Stealer恶意软件的ClickFix活动作者:James Bentley
来源:Internet
引用:https://thehackernews.com/2026/03/microsoft-reveals-clickfix-campaign.html
微软周四透露了名为ClickFix的新一轮大规模社会工程学活动的细节,该活动利用Windows终端应用程序作为激活复杂攻击链和部署Lumma Stealer恶意软件的手段。
该活动于2026年2月被发现,它使用终端模拟程序,而不是指导用户在Windows运行对话框中粘贴命令。
“这个活动指导目标用户使用Windows + X → I快捷键直接启动Windows终端(wt.exe),引导用户进入一个与合法管理工作流程相融合的特权命令执行环境,并显得更加可信,”微软威胁情报团队在一系列X上的帖子中表示。
最新的变体之所以引人注目,是因为它绕过了专门设计用来标记运行对话框滥用的检测机制,不仅如此,它还利用了Windows终端的合法性,欺骗用户运行通过虚假的CAPTCHA页面、故障排除提示或其他验证式诱饵传递的恶意命令。
妥协后的攻击链也非常独特:当用户将来自ClickFix诱饵页面的十六进制编码、XOR压缩命令粘贴到Windows终端会话中时,它会跨越额外的终端/PowerShell实例,最终调用一个负责解码脚本的PowerShell进程。
这进而导致下载ZIP有效载荷和重命名后的7-Zip二进制文件,后者以随机文件名保存到磁盘。然后该工具继续提取ZIP文件的内容,引发一个多阶段攻击链,包括以下步骤:
- 获取更多有效载荷
- 通过计划任务设置持久性
- 配置Microsoft Defender排除项
- 窃取机器和网络数据
- 使用称为QueueUserAPC()的技术部署Lumma Stealer,将恶意软件注入到"chrome.exe"和"msedge.exe"进程
微软表示,“窃取器针对高价值浏览器数据,包括Web数据和登录数据,收集存储的凭据并将其传输到攻击者控制的基础设施。”
微软还表示,它还检测到第二种攻击路径,其中,当压缩命令粘贴到Windows终端时,它会通过"cmd.exe"将随机命名的批处理脚本下载到"AppData\Local"文件夹,以便将Visual Basic脚本写入Temp文件夹(即%TEMP%)。
“然后通过带有/launched命令行参数的cmd.exe执行批处理脚本。相同的批处理脚本随后通过MSBuild.exe执行,导致LOLBin滥用,”它补充说。“脚本连接到加密区块链RPC端点,表明了etherhiding技术。它还通过QueueUserAPC()基于代码注入到chrome.exe和msedge.exe进程以收集Web数据和登录数据。”
页:
[1]