概要
Microsoftは、2026年2月に観測された新しい広範なClickFixソーシャルエンジニアリングキャンペーンの詳細を公開しました。このキャンペーンでは、Windows Terminalアプリが悪意のある攻撃チェーンを展開し、Lumma Stealerマルウェアを配布する役割を果たしています。
Windows Terminalの利用
このキャンペーンでは、ユーザーにWindows + X → Iショートカットを使用してWindows Terminal(wt.exe)を直接起動するよう指示します。これにより、ユーザーは特権コマンド実行環境に誘導され、正当な管理ワークフローと混在し、ユーザーにとってより信頼性が高いように見えます。
攻撃チェーンの展開
ユーザーがClickFixの罠ページからコピーしたヘックスエンコード、XOR圧縮コマンドをWindows Terminalセッションに貼り付けた後、このコマンドは追加のTerminal/PowerShellインスタンスをスパンし、最終的にスクリプトをデコードするPowerShellプロセスを呼び出します。
マルウェア展開
このマルウェアは、ZIPペイロードと合法だが名前が変更された7-Zipバイナリをダウンロードします。このユーティリティはZIPファイルの内容を抽出し、マルウェアの展開、ネットワークデータのエクスファリート、およびクレデンシャルの収集を含む多段階攻撃チェーンをトリガーします。
攻撃チェーンの詳細
- 追加のペイロードの取得
- スケジュールされたタスクを介した持続性の設定
- Microsoft Defenderの除外設定
- マシンとネットワークデータのエクスファリート
- QueueUserAPC()を使用してLumma Stealerの展開
攻撃の影響
このマルウェアは、Web DataとLogin Dataなどの高価値ブラウザアーティファクトを標的とし、保存された資格情報を収集し、攻撃者によって制御されたインフラストラクチャにエクスファリートします。
追加の攻撃パス
Microsoftは、さらに別の攻撃パスも検出しました。このパスでは、圧縮されたコマンドがWindows Terminalに貼り付けられた後、cmd.exeを介して「AppData\Local」フォルダにランダムに名付けられたバッチスクリプトをダウンロードします。このスクリプトは、cmd.exeとMSBuild.exeを介して実行され、LOLBINの乱用を引き起こします。
まとめ
この新たなClickFixキャンペーンは、Windows Terminalの正当性を利用して、ユーザーを悪意のあるコマンドの実行に誘導し、マルウェアの展開を可能にしています。
元記事: https://thehackernews.com/2026/03/microsoft-reveals-clickfix-campaign.html