Microsoft reveló el jueves los detalles de una nueva difusión Haga clic en Fijar campaña de ingeniería social que ha aprovechado la Aplicación Windows Terminal como una forma de activar una cadena de ataque sofisticada y desplegar el Ladrón de luma malware.
La actividad, observada en febrero de 2026, utiliza el programa emulador de terminal en lugar de indicar a los usuarios que inicien el cuadro de diálogo Ejecutar de Windows y peguen un comando en él.
«Esta campaña indica a los objetivos que usen el atajo Windows + X → I para iniciar Windows Terminal (wt.exe) directamente, lo que guía a los usuarios a un entorno privilegiado de ejecución de comandos que se integra en los flujos de trabajo administrativos legítimos y parece más confiable para los usuarios», dijo el equipo de Threat Intelligence de Microsoft dijo en una serie de publicaciones en X.
adsenseLo que hace que la última variante sea notable es que evita las detecciones diseñadas específicamente para detectar el abuso del cuadro de diálogo Ejecutar, sin mencionar que aprovecha la legitimidad de la Terminal de Windows para engañar a los usuarios desprevenidos para que ejecuten comandos maliciosos enviados a través de páginas CAPTCHA falsas, instrucciones de solución de problemas u otros señuelos de tipo verificación.
La cadena de ataque posterior al ataque también es única: cuando el usuario pega un comando con codificación hexadecimal y comprimido con XOR copiado de la página de señuelos de ClickFix en una sesión de Windows Terminal, abarca instancias adicionales de Terminal/PowerShell para, en última instancia, invocar un proceso de PowerShell responsable de decodificar el script.
Esto, a su vez, conduce a la descarga de una carga útil ZIP y un binario 7-Zip legítimo pero renombrado, este último de los cuales se guarda en el disco con un nombre de archivo aleatorio. A continuación, la utilidad procede a extraer el contenido del archivo ZIP, lo que desencadena una cadena de ataques de varias etapas que implica los siguientes pasos:
- Recuperar más cargas útiles
- Configurar la persistencia mediante tareas programadas
- Configuración de las exclusiones de Microsoft Defender
- Exfiltración de datos de máquinas y redes
- Desplegar Lumma Stealer mediante una técnica denominada Usuario de cola APC () inyectando el malware en los procesos "chrome.exe" y "msedge.exe»
«El ladrón ataca artefactos de navegador de alto valor, incluidos los datos web y los datos de inicio de sesión, y recopila las credenciales almacenadas y las filtra a la infraestructura controlada por los atacantes», afirma Microsoft.
El fabricante de Windows dijo que también detectó una segunda vía de ataque, como parte de la cual, cuando el comando comprimido se pega en la Terminal de Windows, descarga un script por lotes con un nombre aleatorio a la carpeta «AppData\ Local» mediante "cmd.exe" para escribir un script de Visual Basic en la carpeta Temp (también conocida como %TEMP%).
«A continuación, el script por lotes se ejecuta mediante cmd.exe con el argumento de línea de comandos /lanzado. Luego, el mismo script por lotes se ejecuta a través de MSBuild.exe, lo que resulta en un abuso de LolBin», agregó. «El script se conecta a los puntos finales del RPC de Crypto Blockchain, lo que indica que se trata de una técnica de ocultación del éter. También inyecta código basado en QueueUserAPC () en los procesos chrome.exe y msedge.exe para recopilar datos web y datos de inicio de sesión».
Fuentes de Información: THEHACKERNEWS