Содержание
В Microsoft предупредили о новой волне ClickFix-атак: злоумышленники перестали опираться на окно Run (Win + R) и начали уводить жертв в Windows Terminal. Цель прежняя — убедить человека вставить «исправляющую» команду, которая в итоге ставит вредонос.
По данным команды Microsoft Threat Intelligence, кампания носит «широкий» характер и стартовала в феврале 2026. Сценарий построен на социальной инженерии, а не на техническом взломе в лоб.
Почему ClickFix уходит от Win + R к Windows Terminal
Классический ClickFix держался на простом трюке: жертва попадала на скомпрометированный или изначально вредоносный сайт, видела фальшивое предупреждение безопасности и «инструкцию по исправлению». Дальше человека просили открыть Run и вставить команду, которая приводила к установке малвари.
Microsoft объясняет смену инструмента прагматично: защитные решения научились лучше отслеживать цепочки установки вредоносного ПО, которые стартуют из среды Windows Run. Поэтому атакующие сменили «контейнер» и теперь используют Windows Terminal.
Windows Terminal — это современное командное приложение Windows, где можно запускать разные консольные инструменты в одном окне и переключаться вкладками, как в браузере. Для социальной инженерии это удобная площадка: выглядит «официально» и привычно для тех, кто хоть раз видел командную строку в роликах или на работе.
Как выглядит новая цепочка и чем заканчивается
В наблюдаемой кампании жертв по-прежнему приводят на вредоносные страницы и показывают фейковое сообщение о проблеме, которую нужно срочно «починить». Вместо Win + R пользователю предлагают открыть Terminal через сочетание Win + X и затем I.
Дальше всё упирается в вставку команды. Microsoft описывает две зафиксированные цепочки атаки — они зависят от того, какую именно команду показывают жертве. Но финал одинаковый: установка Lumma Stealer.
Lumma Stealer — популярный инфостилер, который часто продают как услугу на криминальных форумах. Его задача — вытаскивать чувствительные данные с Windows-ПК.
- Учётные данные браузера: логины и пароли
- Session cookies: куки активных сессий
- Криптокошельки: данные кошельков и связанная информация
- Другие секреты: то, что пользователь хранил на ПК и в браузере
ClickFix живёт десятилетиями, меняется только приманка
ClickFix — одна из самых «долгоиграющих» схем в интернете. Исторически она начиналась с попапов про «вирус на компьютере», а сегодня чаще маскируется под фейковые CAPTCHA или «заблокированные» документы.
В этой волне меняется не идея, а точка входа. И это логично: когда защитники научились лучше ловить установки из Run, атакующие перенесли тот же трюк в Terminal, где поведение пользователя выглядит более «техничным» и менее подозрительным.
Microsoft зафиксировала начало этой кампании в феврале 2026 года и отдельно подчёркивает, что итогом в наблюдаемых случаях становится установка Lumma Stealer.
Источники: Microsoft Threat Intelligence
