أعلنت مايكروسوفت عن تفاصيل حملة ClickFix واسعة النطاق رُصدت في فبراير 2026، حيث اعتمد المهاجمون على تطبيق Windows Terminal بدلاً من نافذة التشغيل التقليدية (Run dialog) لتوجيه الضحايا إلى تنفيذ أوامر خبيثة. الحملة تستغل اختصار Windows + X → I لفتح wt.exe مباشرةً، مما يمنح المهاجمين بيئة تنفيذ أوامر تبدو شرعية وتندمج مع سير العمل الإداري الموثوق.
سلسلة العدوى متعددة المراحل
عند إدخال الأوامر المشفرة والمضغوطة عبر XOR في جلسة Windows Terminal، يتم تشغيل مثيلات إضافية من PowerShell تؤدي إلى تنزيل ملف ZIP يحتوي على حمولة خبيثة وأداة 7-Zip شرعية لكن معاد تسميتها. هذه الأداة تستخرج الملفات وتطلق سلسلة هجوم تشمل:
- تنزيل حمولة إضافية.
- إنشاء مهام مجدولة لضمان الاستمرارية.
- تعديل إعدادات Microsoft Defender لاستبعاد ملفات معينة.
- جمع بيانات الجهاز والشبكة.
- حقن برمجية Lumma Stealer في عمليات chrome.exe وmsedge.exe باستخدام تقنية QueueUserAPC().
أهداف Lumma Stealer
البرمجية تستهدف بيانات المتصفحات عالية القيمة مثل ملفات تسجيل الدخول وبيانات الاعتماد المخزنة، ثم ترسلها إلى بنية تحتية يسيطر عليها المهاجمون. هذا يتيح سرقة كلمات المرور والوصول إلى حسابات حساسة.
مسار هجوم ثانوي
مايكروسوفت رصدت أيضاً مساراً آخر للهجوم، حيث يؤدي إدخال الأوامر إلى تنزيل سكربت Batch عشوائي في مجلد AppData\Local، يقوم بكتابة سكربت VB في مجلد Temp. هذا السكربت يُنفذ عبر cmd.exe ثم عبر MSBuild.exe، في استغلال لتقنية LOLBin. كما يتصل السكربت بنقاط نهاية Crypto Blockchain RPC، في مؤشر على استخدام أسلوب etherhiding، ويكرر حقن الكود في متصفحات كروم وإيدج لجمع بيانات تسجيل الدخول.
