В четверг команда Microsoft Threat Intelligence опубликовала в социальной сети X (бывший Twitter) технический анализ новой масштабной кампании социальной инженерии под названием ClickFix. Данная активность, зафиксированная специалистами в феврале 2026 года, нацелена на обман пользователей для выполнения вредоносного кода через легитимное приложение Windows Terminal. Конечной задачей злоумышленников является установка вредоносного ПО Lumma Stealer для скрытого сбора конфиденциальных браузерных данных.
Основным вектором атаки выступает психологическое манипулирование, при котором хакеры создают у пользователя ложное чувство необходимости системного вмешательства. Жертвам демонстрируются реалистичные фальшивые страницы с проверкой CAPTCHA или поддельные системные уведомления, требующие срочного устранения неполадок. Для решения выдуманной проблемы пользователям предлагается нажать комбинацию клавиш
Такая тактика служит мощным инструментом уклонения от обнаружения. Нажатие указанных клавиш напрямую запускает исполняемый файл
Попав в окно консоли, пользователь, следуя инструкциям с поддельной страницы ClickFix, вставляет туда заранее скопированную шестнадцатеричную (hex-encoded) команду, сжатую с помощью алгоритма XOR. Выполнение этой команды инициирует первичную цепочку атаки, немедленно порождая запуск новых экземпляров Windows Terminal и сессий PowerShell.
В рамках основного сценария вызванный процесс PowerShell отвечает за декодирование загруженного скрипта. После расшифровки скрипт скачивает на устройство ZIP-архив с полезной нагрузкой и легитимный бинарный файл архиватора 7-Zip, который сохраняется на жесткий диск с рандомизированным именем. Развернутый таким образом Lumma Stealer начинает поиск высокоценных браузерных артефактов, прицельно извлекая файлы Web Data и Login Data для последующей передачи собранных учетных данных на инфраструктуру злоумышленников.
Специалисты Microsoft также зафиксировали альтернативный сценарий выполнения атаки после вставки сжатой команды в терминал. В этой цепочке для скачивания пакетного (batch) скрипта со случайным именем в системную директорию
Сразу после загрузки этот пакетный скрипт генерирует и записывает файл Visual Basic Script (VBS) напрямую во временную папку
На финальном этапе атаки для маскировки сетевой активности скрипт устанавливает соединение с конечными точками Crypto Blockchain RPC, что классифицируется как использование техники «etherhiding». Завершает процесс внедрение вредоносного кода на базе функции QueueUserAPC() в процессы целевых браузеров, а именно в
Изображение носит иллюстративный характер
Основным вектором атаки выступает психологическое манипулирование, при котором хакеры создают у пользователя ложное чувство необходимости системного вмешательства. Жертвам демонстрируются реалистичные фальшивые страницы с проверкой CAPTCHA или поддельные системные уведомления, требующие срочного устранения неполадок. Для решения выдуманной проблемы пользователям предлагается нажать комбинацию клавиш
Windows + X → I, вместо того чтобы использовать привычное диалоговое окно «Выполнить» (Run). Такая тактика служит мощным инструментом уклонения от обнаружения. Нажатие указанных клавиш напрямую запускает исполняемый файл
wt.exe, открывая Windows Terminal. Это позволяет обойти механизмы безопасности, специально настроенные на выявление подозрительной активности в диалоге «Выполнить». Кроме того, жертва оказывается в привилегированной среде выполнения команд, а сами действия визуально сливаются с легитимными административными рабочими процессами, не вызывая подозрений. Попав в окно консоли, пользователь, следуя инструкциям с поддельной страницы ClickFix, вставляет туда заранее скопированную шестнадцатеричную (hex-encoded) команду, сжатую с помощью алгоритма XOR. Выполнение этой команды инициирует первичную цепочку атаки, немедленно порождая запуск новых экземпляров Windows Terminal и сессий PowerShell.
В рамках основного сценария вызванный процесс PowerShell отвечает за декодирование загруженного скрипта. После расшифровки скрипт скачивает на устройство ZIP-архив с полезной нагрузкой и легитимный бинарный файл архиватора 7-Zip, который сохраняется на жесткий диск с рандомизированным именем. Развернутый таким образом Lumma Stealer начинает поиск высокоценных браузерных артефактов, прицельно извлекая файлы Web Data и Login Data для последующей передачи собранных учетных данных на инфраструктуру злоумышленников.
Специалисты Microsoft также зафиксировали альтернативный сценарий выполнения атаки после вставки сжатой команды в терминал. В этой цепочке для скачивания пакетного (batch) скрипта со случайным именем в системную директорию
AppData\Local применяется исполняемый файл командной строки cmd.exe. Сразу после загрузки этот пакетный скрипт генерирует и записывает файл Visual Basic Script (VBS) напрямую во временную папку
Temp (также известную как %TEMP%). Затем происходит выполнение самого пакетного скрипта через cmd.exe с передачей специфического аргумента командной строки /launched. Одновременно с этим злоумышленники применяют технику злоупотребления доверенными бинарными файлами операционной системы (LOLBin), запуская тот же пакетный скрипт через легитимный инструмент MSBuild.exe. На финальном этапе атаки для маскировки сетевой активности скрипт устанавливает соединение с конечными точками Crypto Blockchain RPC, что классифицируется как использование техники «etherhiding». Завершает процесс внедрение вредоносного кода на базе функции QueueUserAPC() в процессы целевых браузеров, а именно в
chrome.exe и msedge.exe. Инъекция позволяет Lumma Stealer успешно обойти внутреннюю защиту браузеров и беспрепятственно похитить базы Web Data и Login Data прямо из памяти запущенных приложений.
