Microsoft hat vor einer neuen Variante der ClickFix-Attacke gewarnt, die Erkennungsmechanismen durch den Einsatz von Windows Terminal statt des klassischen Run-Dialogs umgeht. Wie bei traditionellen ClickFix-Angriffen setzen die Cyberkriminellen auf gefälschte CAPTCHA-Seiten und Verifizierungsaufforderungen, um Nutzer zur Ausführung bösartiger PowerShell-Befehle zu verleiten.
Das Besondere an dieser neuen Kampagne ist die Umleitung über Windows Terminal. Anstatt die gewohnte Win + R-Methode zu nutzen, instruieren die Angreifer Ziele, das Tastaturkürzel Windows + X → I zu verwenden, um Windows Terminal (wt.exe) direkt zu starten. Diese Methode wirkt vertrauenswürdiger, da sie sich in legitime administratorische Workflows einfügt und somit für Nutzer authentischer erscheint.
Die erstmals im Februar in der Praxis beobachtete Angriffsvariante ermöglicht es den Attackierenden, bekannte Schutzmechanismen gegen den Missbrauch des Run-Dialogs zu umgehen. Die in Windows Terminal ausgeführten Befehle starten einen PowerShell-Prozess, der verschlüsselte Hex-Befehle dekodiert und eine mehrstufige Angriffskette auslöst, die letztlich zu einer Infektion mit dem Lumma Stealer führt.
Die Malware etabliert ihre Persistenz durch geplante Tasks, enthält Routinen zur Umgehung von Antimalware-Systemen und zielt auf Browser-Daten und andere sensible Informationen ab. In einer weiteren Variante führen die schädlichen Befehle zu Batch-Skripten, die über die Eingabeaufforderung und MSBuild.exe ausgeführt werden. Hier zeigt sich eine besonders perfide Taktik: Das Skript verbindet sich mit Crypto-Blockchain-RPC-Endpunkten und setzt Code-Injection-Techniken ein, um Daten aus Chrome und Microsoft Edge zu extrahieren.
Parallel dazu dokumentiert Microsoft auch die Variante InstallFix, die geklonte KI-Tool-Websites missbraucht, um Nutzer zur Ausführung bösartiger Befehle zu bewegen – ebenfalls mit dem Ziel, Informationen zu stehlen.