Οι ερευνητές στον τομέα της κυβερνοασφάλειας αποκάλυψαν ένα νέο κύμα επιθέσεων ClickFix που τώρα εκμεταλλεύονται το Windows Terminal για να παραδίδουν κακόβουλα ωφέλιμα φορτία απευθείας σε μηχανήματα-θύματα.
Σε αντίθεση με προηγούμενες επαναλήψεις αυτής της τεχνικής κοινωνικής μηχανικής, η οποία βασιζόταν στο παράθυρο διαλόγου Εκτέλεση των Windows, αυτή η τελευταία καμπάνια οδηγεί τους χρήστες στο να ανοίξουν οι ίδιοι ένα προνομιακό περιβάλλον εντολών, καθιστώντας το πιο δύσκολο να εντοπιστεί και να γίνει πιο πιστευτό στους απλούς χρήστες.
Το ClickFix εμφανίστηκε για πρώτη φορά στις αρχές του 2024, όταν οι ερευνητές στο Proofpoint το εντόπισαν να παρέχει ψεύτικα μηνύματα σφάλματος προγράμματος περιήγησης που εξαπατούσαν τους χρήστες να εκτελούν επιβλαβείς εντολές.
Η τεχνική εξαπλώθηκε γρήγορα και η ESET κατέγραψε έκτοτε αύξηση 517% στις επιθέσεις ClickFix καθ’ όλη τη διάρκεια του 2025, κατατάσσοντάς την στη δεύτερη θέση μετά το phishing ως παγκόσμιο φορέα επιθέσεων.
Οι επιτιθέμενοι συνήθως δημιουργούν ψεύτικες σελίδες CAPTCHA, ψευδείς ειδοποιήσεις αντιμετώπισης προβλημάτων ή επείγουσες ειδοποιήσεις ασφαλείας, όλα σχεδιασμένα για να πιέσουν τα θύματα να αντιδράσουν πριν σταματήσουν να αμφισβητούν το αίτημα.
Οι αναλυτές της Microsoft Threat Intelligence εντόπισαν μια ευρέως διαδεδομένη καμπάνια ClickFix τον Φεβρουάριο του 2026 που στόχευε συγκεκριμένα το Windows Terminal ως το νέο περιβάλλον εκτέλεσής του.
Αντί να κατευθύνει τα θύματα στο παραδοσιακό παράθυρο διαλόγου Εκτέλεση μέσω Win + R, αυτή η καμπάνια τους είπε να χρησιμοποιήσουν τη συντόμευση των Windows + X ακολουθούμενη από το “I” για να εκκινήσουν απευθείας το Windows Terminal.
Αυτή η προσέγγιση επιτρέπει στους εισβολείς να παρακάμπτουν τα εργαλεία ασφαλείας που έχουν δημιουργηθεί για να επισημάνουν την κακή χρήση διαλόγου Εκτέλεση, ενώ τοποθετούν τα θύματα μέσα σε ένα περιβάλλον γραμμής εντολών που μοιάζει με τη συνήθη εργασία πληροφορικής.
Η ζημιά που προκλήθηκε από αυτή την εκστρατεία είναι πραγματική και μετρήσιμη. Σύμφωνα με την Αναφορά Ψηφιακής Άμυνας 2025 της Microsoft, το ClickFix είναι πλέον η κορυφαία μέθοδος αρχικής πρόσβασης, υπεύθυνη για το 47% όλων των επιθέσεων που παρακολουθούνται από τους ειδικούς του Microsoft Defender, ξεπερνώντας το παραδοσιακό phishing στο 35%.
Το τελικό ωφέλιμο φορτίο σε αυτήν την τελευταία καμπάνια είναι το Lumma Stealer, ένα κακόβουλο λογισμικό συλλογής διαπιστευτηρίων που έχει σχεδιαστεί για την εξαγωγή αποθηκευμένων ονομάτων χρήστη, κωδικών πρόσβασης και ευαίσθητων δεδομένων προγράμματος περιήγησης από το Chrome και το Edge.
Αυτή η καμπάνια αφορά συγκεκριμένα τους χρήστες των Windows και δεδομένου ότι καταχράται την ανθρώπινη συμπεριφορά και όχι ένα ελάττωμα λογισμικού, δεν υπάρχει παραδοσιακή ενημέρωση κώδικα λογισμικού. Η ευαισθητοποίηση σχετικά με την ασφάλεια και οι αυστηροί έλεγχοι πολιτικής παραμένουν οι πιο αποτελεσματικές άμυνες έναντι αυτού του τύπου επιθέσεων.
Πώς εξελίσσεται η μόλυνση
Η επίθεση ξεκινά τη στιγμή που ένα θύμα επισκέπτεται έναν παραβιασμένο ή κακόβουλο ιστότοπο. Η κρυφή JavaScript που εκτελείται πίσω από τη σελίδα αντιγράφει αθόρυβα μια εντολή PowerShell με εξαγωνική κωδικοποίηση, συμπιεσμένη με XOR στο πρόχειρο του χρήστη χωρίς καμία ορατή ένδειξη.
Στη συνέχεια εμφανίζεται στην οθόνη ένα ψεύτικο μήνυμα CAPTCHA ή επαλήθευση, το οποίο υποδύεται αξιόπιστες επωνυμίες όπως το Cloudflare ή η Microsoft, καθοδηγώντας τον χρήστη να ανοίξει το Windows Terminal και να επικολλήσει ό,τι υπάρχει στο πρόχειρο για να “διορθώσει” ένα υποτιθέμενο πρόβλημα.
Μόλις η εντολή προσγειωθεί στο Windows Terminal, μια διαδικασία PowerShell αποκωδικοποιεί το συμπιεσμένο σενάριο εξ ολοκλήρου στη μνήμη και αρχίζει να πραγματοποιεί εξερχόμενες συνδέσεις σε διακομιστές που ελέγχονται από τους εισβολείς.
Κατεβάζει ένα μετονομασμένο εκτελέσιμο αρχείο 7-Zip και ένα αρχείο ZIP που περιέχει το επόμενο στάδιο της επίθεσης. Το αρχείο εξάγεται και εκτελείται σιωπηλά, χωρίς να εμφανίζονται ορατά μηνύματα στην οθόνη, αφήνοντας το θύμα χωρίς λόγο να υποψιάζεται ότι κάτι πήγε στραβά.
Στη συνέχεια, το κακόβουλο λογισμικό αποκαθιστά την επιμονή γράφοντας μια προγραμματισμένη εργασία που εκτελείται κάθε φορά που το σύστημα επανεκκινείται. Η Lumma Stealer έχει πέσει μέσα C:\ProgramData\app_config\ctjb και χρησιμοποιεί την ένεση QueueUserAPC() για να εισαχθεί σε ενεργές διεργασίες του προγράμματος περιήγησης, συμπεριλαμβανομένων των chrome.exe και msedge.exe.
Μόλις ενσωματωθεί σε αυτές τις διεργασίες, διαβάζει τα αρχεία δεδομένων σύνδεσης και δεδομένων Ιστού που αποθηκεύονται από το πρόγραμμα περιήγησης, συλλέγει αποθηκευμένα διαπιστευτήρια και ευαίσθητες εγγραφές αυτόματης συμπλήρωσης πριν στείλει τα πάντα στην απομακρυσμένη υποδομή του εισβολέα.
Ο εντοπισμός γίνεται πιο δύσκολος επειδή το wt.exe είναι ένα αξιόπιστο στοιχείο συστήματος σε πολλά μηχανήματα Windows. Τα εργαλεία παρακολούθησης ασφαλείας ενδέχεται να μην επισημαίνουν αμέσως τη δραστηριότητα του PowerShell που προέρχεται από το Windows Terminal, δίνοντας στον εισβολέα μη ανιχνευμένο χρόνο για να ολοκληρώσει την πλήρη αλυσίδα μόλυνσης.,
Για να μειωθεί η έκθεση σε αυτήν την απειλή, οι οργανισμοί θα πρέπει να εκπαιδεύουν τους υπαλλήλους να μην επικολλούν ποτέ εντολές σε οποιοδήποτε τερματικό που ζητείται από έναν ιστότοπο. Το Windows Terminal και το PowerShell θα πρέπει να περιορίζονται σε λογαριασμούς διαχειριστή μέσω της Πολιτικής ομάδας.
Οι ομάδες ασφαλείας θα πρέπει να επιθεωρούν τακτικά τα κλειδιά μητρώου κάτω από HKCU\Software\Microsoft\Windows\CurrentVersion\Run και ελέγξτε το Windows Task Scheduler για μη αναγνωρισμένες προγραμματισμένες εργασίες.
