微软在周四披露了一项新的大规模ClickFix社会工程攻击活动的详细信息,该活动利用Windows终端应用程序作为激活复杂攻击链并部署Lumma窃密木马的途径。
这项于2026年2月观察到的活动使用了终端模拟器程序,而不是指示用户启动Windows运行对话框并将命令粘贴到其中。
微软威胁情报团队在X平台的一系列帖子中表示:"此次攻击活动指示目标使用Windows + X → I快捷键直接启动Windows终端(wt.exe),引导用户进入一个特权命令执行环境,该环境融入合法的管理工作流程中,对用户来说显得更加可信。"
这个最新变种的显著特点在于,它绕过了专门用于标记运行对话框滥用的检测机制,同时利用Windows终端的合法性来欺骗毫无戒心的用户运行通过虚假CAPTCHA页面、故障排除提示或其他验证式诱饵传递的恶意命令。
入侵后的攻击链也很独特:当用户将从ClickFix诱饵页面复制的十六进制编码、XOR压缩命令粘贴到Windows终端会话中时,它会生成额外的终端/PowerShell实例,最终调用负责解码脚本的PowerShell进程。
这反过来会导致下载一个ZIP载荷和一个合法但已重命名的7-Zip二进制文件,后者以随机文件名保存到磁盘。然后该工具会提取ZIP文件的内容,触发一个多阶段攻击链,涉及以下步骤:
检索更多载荷
通过计划任务建立持久性
配置Microsoft Defender排除项
窃取机器和网络数据
使用名为QueueUserAPC()的技术部署Lumma窃密木马,将恶意软件注入"chrome.exe"和"msedge.exe"进程
微软表示:"该窃密木马针对高价值的浏览器数据,包括Web Data和Login Data,收集存储的凭据并将其窃取到攻击者控制的基础设施。"
这家Windows制造商表示,它还检测到第二条攻击路径,在该路径中,当压缩命令被粘贴到Windows终端时,它会通过"cmd.exe"将一个随机命名的批处理脚本下载到"AppData\Local"文件夹,以便将Visual Basic脚本写入Temp文件夹(即%TEMP%)。
微软补充说:"然后通过cmd.exe使用/launched命令行参数执行批处理脚本。随后通过MSBuild.exe执行同一批处理脚本,导致LOLBin滥用。该脚本连接到加密区块链RPC端点,表明使用了etherhiding技术。它还执行基于QueueUserAPC()的代码注入到chrome.exe和msedge.exe进程中,以收集Web Data和Login Data。"
Q&A
Q1:ClickFix攻击活动是如何利用Windows终端进行攻击的?
A:ClickFix攻击活动指示目标用户使用Windows + X → I快捷键直接启动Windows终端,引导用户进入特权命令执行环境。当用户将从诱饵页面复制的十六进制编码、XOR压缩命令粘贴到终端中时,会触发多阶段攻击链,最终部署Lumma窃密木马。这种方式绕过了针对运行对话框滥用的检测机制,利用Windows终端的合法性来欺骗用户。
Q2:Lumma窃密木马主要窃取哪些信息?
A:Lumma窃密木马主要针对高价值的浏览器数据进行窃取,包括Web Data和Login Data等浏览器存储的凭据信息。攻击者使用QueueUserAPC()技术将恶意软件注入到chrome.exe和msedge.exe等浏览器进程中,收集这些敏感数据后将其窃取到攻击者控制的基础设施。
Q3:这次攻击活动与以往的ClickFix攻击有什么不同?
A:这次攻击活动的主要不同在于使用Windows终端而不是传统的Windows运行对话框作为攻击入口。这种方式能够绕过专门针对运行对话框滥用的检测机制,同时Windows终端作为合法的管理工具更容易获得用户信任。此外,攻击链还采用了多阶段载荷部署、etherhiding技术和LOLBin滥用等复杂手段。
好文章,需要你的鼓励
苹果已开始在印度分阶段恢复Apple账户的信用卡支付功能,用户可绑定Visa和Mastercard信用卡及借记卡,用于购买iCloud+、Apple Music订阅及App Store应用。此前,由于印度储备银行于2021年推出新的周期性支付监管框架,苹果于2022年5月暂停了该支付方式。此次恢复标志着苹果在适应各国本地化监管要求方面的持续努力,同时也引发外界对苹果是否将在印度推出Apple Pay的新猜测。
CGGS是华南理工大学与西湖大学联合提出的以自我为中心三维场景生成框架,通过一致性增强多视角扩散模型、光流深度估计和互信息几何优化,实现高保真文本驱动3D场景生成。
Bookshop.org创始人Andy Hunter证实,与Kobo的合作集成将于今年落地。此前该计划历经多次推迟,网页措辞一度从"2026年"改为"未来某时"。Hunter表示,双方已就商业条款达成一致,工程团队正将资源重新投入Kobo支持开发,但尚无具体上线日期。该集成将支持数字版权管理要求,让用户通过Bookshop.org购买电子书,同时支持独立书店。
南加州大学团队发现语音抑郁检测领域存在数据漏洞,并提出CLeaD跨语言对比对齐框架,揭示模型规模越大跨语言性能越差的反直觉规律。