Die Angriffskette beginnt, sobald das Opfer den vorgegebenen Befehl im Windows Terminal ausführt. Dadurch wird ein PowerShell-Prozess gestartet, der eingebettete Hexadezimal-Befehle dekodiert und so eine mehrstufige Kette in Gang setzt, die in einer Infektion mit Lumma Stealer mündet.
Der Schadcode verschafft sich laut Microsoft über geplante Aufgaben (Scheduled Tasks) dauerhaften Halt im System, enthält Routinen zur Umgehung von Schutzsoftware und greift gezielt Browserdaten sowie andere sensible Informationen ab, um sie abzufließen.
Microsoft beschreibt zudem eine zweite Variante des Angriffs. Hier führen die im Windows Terminal ausgeführten Befehle zu einem Batch-Skript, das über die Eingabeaufforderung und mittels MSBuild.exe gestartet wird. Nach Angaben des Unternehmens verbindet sich das Skript mit RPC-Endpunkten von Krypto-Blockchains, was auf die sogenannte EtherHiding-Technik hindeutet. Außerdem nimmt es eine Code-Injektion auf Basis von QueueUserAPC() in die Prozesse chrome.exe und msedge.exe vor, um dort Web-Daten und Anmeldedaten zu erbeuten.
Eine weitere kürzlich beobachtete ClickFix-Variante trägt den Namen InstallFix. Sie setzt auf nachgebaute Webseiten von KI-Werkzeugen, um Opfer zur Ausführung schädlicher Befehle zu bewegen – auch hier ist das Ziel die Infektion mit einem Informationsdieb.
