Microsoft alerte sur une nouvelle campagne de social engineering reposant sur la technique ClickFix. Les attaquants utilisent cette fois Windows Terminal pour pousser les victimes à exécuter des commandes malveillantes, déclenchant une chaîne d’infection qui aboutit au déploiement du malware Lumma Stealer.
Une campagne ClickFix exploitant Windows Terminal
Microsoft a identifié en février 2026 une campagne ClickFix de grande ampleur qui détourne l’outil Windows Terminal afin d’exécuter une chaîne d’attaque menant à l’installation du malware Lumma Stealer. Contrairement aux variantes précédentes de cette technique d’ingénierie sociale, les attaquants ne demandent plus aux victimes d’utiliser la boîte de dialogue « Exécuter » de Windows. Ils les incitent plutôt à lancer directement Windows Terminal (wt.exe) en passant par un raccourci clavier, ce qui place l’utilisateur dans un environnement d’exécution de commandes plus crédible. Cette approche permet de contourner certaines détections de sécurité qui surveillent l’usage suspect du dialogue « Run », tout en donnant l’impression d’une opération administrative légitime.
Des leurres incitant les victimes à exécuter elles-mêmes la commande
Comme dans d’autres attaques ClickFix, les victimes sont redirigées vers des pages frauduleuses comme, par exemple, de faux CAPTCHA ou des pages de dépannage, qui affichent des instructions à suivre pour résoudre un problème supposé. Ces pages demandent aux utilisateurs de copier une commande et de la coller dans le terminal. Une fois la commande exécutée, un script encodé est lancé avec PowerShell. Celui-ci déclenche une série d’actions automatisées destinées à préparer l’infection du système.
Une chaîne d’attaque en plusieurs étapes
La commande exécutée dans Windows Terminal déclenche une chaîne d’infection relativement complexe. Les attaquants téléchargent notamment une archive contenant plusieurs composants, ainsi qu’un binaire légitime de l’outil 7-Zip renommé afin d’extraire les charges malveillantes. Le script configure ensuite différents mécanismes de persistance, modifie certains paramètres de sécurité, notamment des exclusions dans Microsoft Defender, et récupère des informations sur le système compromis et son environnement réseau.
Lumma Stealer pour voler les données des navigateurs
La phase finale de l’attaque consiste à déployer Lumma Stealer, un malware spécialisé dans le vol d’informations. Celui-ci cible notamment les données stockées dans les navigateurs, comme les identifiants enregistrés ou les informations de connexion. Pour échapper à la détection, le malware peut injecter son code dans des processus légitimes comme Chrome ou Microsoft Edge avant d’exfiltrer les données collectées vers l’infrastructure contrôlée par les attaquants.
