Microsoft upozorava na ClickFix napad koji koristi Windows Terminal za širenje Lumma Stealer-a

Vesti, 09.03.2026, 11:00 AM

Microsoft je otkrio novu ClickFix kampanju socijalnog inženjeringa koja koristi Windows Terminal za pokretanje sofisticiranog napada i instalaciju malvera Lumma Stealer.

Kampanja je primećena u februaru 2026. godine. Za razliku od ranijih ClickFix napada koji su navodili korisnike da pokrenu Windows Run dijalog, ova verzija koristi Windows Terminal (wt.exe).

Napadači žrtvama prikazuju lažne CAPTCHA stranice, upite za rešavanje problema ili verifikacione prozore, koji ih navode da koriste prečicu Windows + X → I kako bi pokrenuli Windows Terminal i zatim nalepili komandni kod.

Komanda koju korisnik kopira sa lažne stranice pokreće dodatne Terminal i PowerShell procese koji dekodiraju skriptu i započinju napad.

Sledeći korak uključuje preuzimanje ZIP paketa sa malicioznim sadržajem i legitimnog alata 7-Zip, koji je preimenovan i sačuvan na disku pod nasumičnim imenom. Nakon raspakivanja pokreće se višefazni napad koji uključuje preuzimanje dodatnih payloadova, uspostavljanje perzistencije putem zakazanih zadataka, dodavanje izuzetaka u Microsoft Defender-u i prikupljanje podataka o sistemu i mreži.

U završnoj fazi napada instalira se Lumma Stealer, koji se ubrizgava u procese chrome.exe i msedge.exe.

Malver zatim preuzima vredne podatke iz pregledača, uključujući sačuvane kredencijale, koje šalje na server pod kontrolom napadača.

Microsoft je identifikovao i alternativni scenario napada. U toj varijanti komanda iz Windows Terminala preuzima batch skriptu u folder „AppDataLocal“, koja zatim generiše Visual Basic Script u Temp direktorijumu.

Kao i u prvoj varijanti napada, završna faza uključuje ubrizgavanje koda u procese Chrome i Edge pregledača kako bi se prikupili podaci o korisničkim nalozima i druge osetljive informacije.