ClickFix z użyciem Windows Terminal: nowa technika omijania detekcji w kampaniach malware

Co znajdziesz w tym artykule?

1 Wprowadzenie do problemu / definicja
2 W skrócie
3 Kontekst / historia
4 Analiza techniczna
5 Konsekwencje / ryzyko
6 Rekomendacje
7 Podsumowanie
8 Źródła

Wprowadzenie do problemu / definicja

ClickFix to technika ataku oparta na inżynierii społecznej, w której użytkownik zostaje nakłoniony do samodzielnego uruchomienia złośliwego polecenia pod pozorem rozwiązania problemu technicznego, przejścia weryfikacji lub potwierdzenia tożsamości. Najnowsza odmiana tej metody wykorzystuje Windows Terminal zamiast klasycznego okna „Uruchom”, co zwiększa wiarygodność scenariusza i może utrudniać wykrycie incydentu przez rozwiązania ochronne.

W praktyce napastnicy nie muszą dostarczać klasycznego pliku wykonywalnego ani złożonego exploita. Wystarczy odpowiednio przygotowana przynęta i zestaw instrukcji, które sprawiają, że to ofiara sama inicjuje łańcuch infekcji.

W skrócie

Nowy wariant ClickFix wykorzystuje Windows Terminal jako element socjotechnicznego łańcucha ataku.
Ofiary są nakłaniane do uruchomienia poleceń poprzez fałszywe strony CAPTCHA, komunikaty naprawcze i inne przynęty.
Zaobserwowane kampanie prowadziły m.in. do infekcji malware typu infostealer, w tym Lumma Stealer.
Atak może obejmować trwałość w systemie, użycie legalnych narzędzi systemowych oraz kradzież danych z przeglądarek.
Zmiana z Win+R na Windows Terminal wskazuje na próbę obejścia detekcji skupionej na klasycznych schematach nadużyć.

Kontekst / historia

Ataki ClickFix zyskały popularność, ponieważ łączą prostą socjotechnikę z użyciem legalnych komponentów systemu operacyjnego. Zamiast polegać wyłącznie na malware dostarczanym jako załącznik lub pobrany plik, operatorzy kampanii przekonują użytkownika, by sam wykonał określone działania. To utrudnia obronę opartą tylko na blokowaniu podejrzanych plików i klasycznych wskaźnikach kompromitacji.

W nowo opisanym wariancie istotna jest zmiana interfejsu używanego do uruchomienia poleceń. Zastąpienie okna „Uruchom” środowiskiem Windows Terminal nie jest jedynie kosmetyczną modyfikacją. To adaptacja do realiów, w których część mechanizmów bezpieczeństwa i procedur analitycznych lepiej rozpoznaje nadużycia związane z dialogiem Run. Kampania była obserwowana co najmniej w lutym 2026 roku, co potwierdza dalszą ewolucję technik ClickFix.

Analiza techniczna

Łańcuch ataku zwykle rozpoczyna się od strony podszywającej się pod legalny proces weryfikacyjny lub diagnostyczny. Użytkownik widzi instrukcje sugerujące wykonanie kilku prostych czynności, rzekomo niezbędnych do potwierdzenia, że nie jest botem, albo do naprawy problemu z dostępem. W rzeczywistości celem jest skopiowanie i uruchomienie przygotowanego wcześniej polecenia.

Kluczowym elementem tej kampanii jest wykorzystanie skrótu Windows+X i uruchomienie Windows Terminal. Z perspektywy użytkownika takie środowisko może wyglądać bardziej profesjonalnie i administracyjnie niż klasyczne okno „Uruchom”. Z perspektywy napastnika daje to szansę na obniżenie czujności ofiary oraz ominięcie części detekcji skoncentrowanych na nadużyciach związanych z Win+R.

Po uruchomieniu polecenia aktywowany jest proces PowerShell, który dekoduje osadzone komendy zapisane między innymi w postaci szesnastkowej. To prowadzi do wieloetapowego łańcucha wykonania, którego finalnym skutkiem może być dostarczenie malware klasy infostealer, identyfikowanego jako Lumma Stealer. W analizowanych przypadkach obserwowano także mechanizmy trwałości, na przykład z użyciem zaplanowanych zadań, oraz działania utrudniające wykrycie przez narzędzia ochronne.

W innym wariancie kampanii uruchomione polecenia prowadziły do wykonania skryptu wsadowego przez wiersz polecenia oraz z wykorzystaniem MSBuild.exe. Taki dobór narzędzi wpisuje się w model living off the land, czyli nadużywania legalnych binariów obecnych już w systemie. Dodatkowo odnotowano komunikację z endpointami RPC powiązanymi z blockchainem, co może wskazywać na użycie techniki etherhiding do pośredniczenia w dostarczaniu elementów ładunku. W łańcuchu pojawiała się także iniekcja kodu metodą QueueUserAPC do procesów przeglądarek, takich jak chrome.exe i msedge.exe, w celu przejęcia danych logowania oraz informacji przechowywanych przez przeglądarkę.

Konsekwencje / ryzyko

Ryzyko związane z tym wariantem ClickFix jest wysokie, ponieważ atak łączy skuteczną socjotechnikę z wykorzystaniem zaufanych komponentów Windows. Ofiara nie musi pobierać podejrzanego pliku wykonywalnego ani uruchamiać oczywistego malware. Wystarczy wykonanie instrukcji wyglądającej jak element procedury bezpieczeństwa lub pomocy technicznej.

Potencjalne skutki obejmują kradzież haseł zapisanych w przeglądarkach, przejęcie sesji, wyciek plików cookie, danych formularzy i innych informacji uwierzytelniających. W środowisku firmowym może to prowadzić do dalszej kompromitacji poczty, usług SaaS, dostępu VPN, paneli administracyjnych i systemów wewnętrznych. Dodatkowym zagrożeniem jest uzyskanie trwałości oraz ukrywanie aktywności wewnątrz procesów przeglądarek, co może wydłużyć czas wykrycia incydentu.

Atak stanowi również wyzwanie dla zespołów SOC oraz rozwiązań EDR, zwłaszcza jeśli organizacja opiera detekcję głównie na sygnaturach lub prostych regułach monitorujących PowerShell uruchamiany z dialogu Run. Zmiana ścieżki inicjacji i użycie legalnych narzędzi systemowych obniżają skuteczność starszych scenariuszy detekcyjnych.

Rekomendacje

Organizacje powinny traktować ClickFix jako technikę operacyjną, a nie pojedynczy wskaźnik kompromitacji. Obrona powinna obejmować zarówno monitoring zachowań użytkownika, jak i korelację procesów uruchamianych po nietypowych akcjach w systemie.

Wdrożyć detekcję sekwencji obejmujących uruchomienie Windows Terminal, a następnie start PowerShell, cmd.exe, MSBuild.exe lub innych interpreterów z parametrami wskazującymi na dekodowanie i uruchamianie zakodowanych poleceń.
Ograniczyć użycie PowerShell i narzędzi skryptowych do użytkowników, którzy rzeczywiście potrzebują ich w pracy, oraz stosować polityki kontroli aplikacji.
Rozważyć wykorzystanie AppLocker, Windows Defender Application Control i ograniczeń dla MSBuild.exe poza zatwierdzonymi stacjami roboczymi.
Rozszerzyć szkolenia świadomościowe o scenariusze, w których użytkownik jest proszony o lokalne uruchomienie poleceń w celu „weryfikacji”, „odblokowania” strony lub „naprawy” błędu.
Monitorować tworzenie nowych zaplanowanych zadań, nietypowe uruchomienia przeglądarek z kontekstu procesów skryptowych oraz oznaki iniekcji kodu do procesów browserów.
Wzmocnić ochronę kont poprzez MFA odporne na przejęcie sesji i szybkie unieważnianie tokenów po wykryciu infekcji stealerem.
Zwiększyć czujność wobec stron podszywających się pod CAPTCHA, narzędzia AI, portale wsparcia technicznego i inne popularne przynęty wykorzystywane w kampaniach ClickFix.

Podsumowanie

Nowy wariant ClickFix pokazuje, że skuteczne kampanie nie wymagają zaawansowanych exploitów, jeśli napastnik potrafi przekonać użytkownika do wykonania złośliwych działań we własnym systemie. Wykorzystanie Windows Terminal zamiast okna „Uruchom” to pozornie niewielka zmiana, która zwiększa wiarygodność ataku i może utrudnić wykrycie przez starsze mechanizmy bezpieczeństwa.

Dla organizacji to wyraźny sygnał, że ochrona nie może ograniczać się do monitorowania pojedynczych narzędzi czy sygnatur. Skuteczna obrona wymaga połączenia telemetrii endpointów, kontroli wykonywania, analizy zachowań i regularnej edukacji użytkowników.

Źródła

SecurityWeek — https://www.securityweek.com/clickfix-attack-uses-windows-terminal-to-evade-detection/
Microsoft Threat Intelligence — https://x.com/MsftSecIntel