Na quinta-feira, a Microsoft divulgou detalhes de uma nova campanha massiva de engenharia social chamada ClickFix, que utiliza o aplicativo Windows Terminal para ativar uma cadeia sofisticada de ataques e distribuir o malware Lumma Stealer.
Detectada em fevereiro de 2026, a campanha explora o terminal em vez de instruir os usuários a acessarem o diálogo Executar do Windows para colar comandos.
Segundo a equipe de Threat Intelligence da Microsoft, “essa campanha orienta os alvos a usar o atalho Windows + X seguido de I para abrir diretamente o Windows Terminal (wt.exe), guiando os usuários a um ambiente de execução privilegiada de comandos integrado a fluxos administrativos legítimos, tornando-se aparentemente mais confiável.”
A variante atual se destaca por conseguir contornar sistemas de detecção focados em abusos do diálogo Executar, aproveitando a legitimidade do Windows Terminal para enganar usuários desavisados.
Os comandos maliciosos são entregues por meio de páginas falsas de CAPTCHA, prompts de solução de problemas e outras iscas que simulam processos de verificação.
Na cadeia de ataque pós-comprometimento, há outra inovação: ao colar um comando codificado em hexadecimal e comprimido em XOR, extraído da página ClickFix, na sessão do Windows Terminal, o script se expande para outras instâncias do Terminal e do PowerShell.
Por fim, uma instância do PowerShell decodifica o script, que baixa um payload em arquivo ZIP e um binário legítimo do 7-Zip, renomeado e salvo com nome aleatório no disco.
O 7-Zip é usado para extrair o conteúdo do ZIP, desencadeando uma cadeia de ataques em múltiplas fases, que incluem:
- Download de payloads adicionais;
- Criação de persistência por meio de tarefas agendadas;
- Configuração de exclusões no Microsoft Defender;
- Exfiltração de dados da máquina e da rede;
- Implantação do Lumma Stealer via técnica QueueUserAPC(), injetando o malware nos processos "chrome.exe" e "msedge.exe".
De acordo com a Microsoft, “o stealer mira artefatos valiosos do navegador, incluindo Web Data e Login Data, roubando credenciais armazenadas e enviando-as para infraestruturas controladas pelos atacantes.”
Foi identificada uma segunda rota de ataque: ao colar o comando comprimido no Terminal, um script batch com nome aleatório é baixado na pasta AppData\Local via cmd.exe.
Esse script escreve um Visual Basic Script na pasta Temp (%TEMP%), que é executado com o argumento /launched pelo cmd.exe.
Em seguida, o mesmo script é acionado pelo MSBuild.exe, caracterizando o abuso de LOLBins (Living Off the Land Binaries).
O script também se conecta a endpoints de Crypto Blockchain RPC, sugerindo o uso da técnica etherhiding.
Além disso, realiza injeção de código via QueueUserAPC() nos processos chrome.exe e msedge.exe para capturar Web Data e Login Data.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...