Microsoft hat eine groß angelegte ClickFix-Kampagne aufgedeckt, die Windows Terminal ausnutzt, um die Lumma-Stealer-Malware einzuschleusen. Die Angreifer umgehen dabei Sicherheitsmaßnahmen gegen Run-Dialog-Missbrauch und nutzen die Legitimität von Windows Terminal als Täuschungsmittel.
Microsoft hat am Donnerstag eine neue, weit verbreitete Social-Engineering-Kampagne namens ClickFix öffentlich gemacht, die das Windows Terminal als Einfallstor für einen komplexen Angriffsablauf nutzt und die Lumma-Stealer-Malware verbreitet.
Die im Februar 2026 beobachtete Kampagne setzt auf die Terminal-Anwendung, statt Nutzer wie üblich zur Verwendung des Windows-Run-Dialogs zu bewegen. Das Microsoft Threat Intelligence Team erläuterte in mehreren Posts auf X: “Die Kampagne weist Ziele an, das Tastaturkürzel Windows + X und dann I zu verwenden, um Windows Terminal (wt.exe) direkt zu starten. Dies führt die Benutzer in eine privilegierte Kommandozeilen-Umgebung, die sich nahtlos in legitime Admin-Workflows einfügt und deshalb vertrauenswürdiger wirkt.”
Die Besonderheit liegt in der Umgehung von Erkennungsmechanismen, die speziell den Missbrauch des Run-Dialogs verhindern sollen. Gleichzeitig nutzen die Angreifer die Seriosität von Windows Terminal aus, um Nutzer dazu zu bringen, bösartige Befehle auszuführen – versteckt hinter gefälschten CAPTCHA-Seiten oder Troubleshooting-Prompts.
Der Post-Compromise-Angriff funktioniert in mehreren Stufen: Ein hexadezimal codierter und XOR-komprimierter Befehl wird aus der ClickFix-Lure-Seite kopiert und ins Windows Terminal eingefügt. Dies startet daraufhin mehrere Terminal- und PowerShell-Instanzen, die letztlich einen PowerShell-Prozess aufrufen, der das Skript dekodiert.
Danach wird eine ZIP-Datei heruntergeladen sowie eine legitime, aber umbenannte 7-Zip-Binärdatei mit zufälligem Dateinamen auf der Festplatte abgespeichert. Das Tool entpackt dann die ZIP-Inhalte und startet eine mehrstufige Angriffskette. Microsoft berichtet: “Der Stealer zielt auf hochwertige Browser-Artefakte ab, einschließlich Web-Daten und Login-Daten, um gespeicherte Anmeldeinformationen abzugreifen und an Attacker-Infrastruktur weiterzuleiten.”
Microsoft identifizierte auch einen zweiten Angriffsvektor: Dabei wird nach dem Einfügen des komprimierten Befehls ein zufällig benanntes Batch-Skript über “cmd.exe” in den “AppData\Local”-Ordner heruntergeladen und anschließend ein Visual Basic-Skript in den Temp-Ordner geschrieben. Das Batch-Skript wird dann mit “cmd.exe” ausgeführt, gefolgt von einer erneuten Ausführung über “MSBuild.exe” – ein klassischer LOLBin-Missbrauch. Das Skript verbindet sich mit Crypto-Blockchain-RPC-Endpunkten und nutzt Code-Injection-Techniken, um auf Chrome- und Edge-Prozesse zuzugreifen und dort sensible Daten zu stehlen.
Quelle: The Hacker News