Microsoft schlägt Alarm wegen einer weiteren Wiederholung des ClickFix-Angriffs. Es wurde im Februar 2026 entdeckt und zeichnet sich durch die Verwendung von Windows Terminal aus als Hauptausführungsvektor, nicht das üblichere Dialogfeld „Ausführen“ (Win+R)
Wie fangen Angreifer ihre Opfer ein?
Opfer werden auf gefälschte Webseiten gelockt, die als CAPTCHA-Tests, Eingabeaufforderungen zur Fehlerbehebung oder andere Überprüfungsbildschirme getarnt werden. Auf diesen Seiten werden sie aufgefordert, eine Bestellung zu kopieren und direkt einzufügen im Windows-Terminal (Win+X, dann I).
Für Microsoft Threat Intelligence sieht dieser Ansatz mit Windows Terminal legitimer aus und umgeht die missbrauchsspezifischen Erkennungssysteme des Dialogfelds „Ausführen“.
Was ist der Zweck der Angriffskette?
Sobald ein Befehl in das Terminal eingefügt wird, wird eine Angriffskette ausgelöst. Der hexadezimal kodierte und komprimierte Befehl führt PowerShell-Skripte aus, die mehrere Komponenten herunterladen.
Unter anderem wird eine legitime, aber umbenannte Version des 7-Zip-Dienstprogramms verwendet, um den Inhalt eines ZIP-Archivs mit der endgültigen Nutzlast zu extrahieren. Ziel ist es, die Lumma-Stealer-Malware einzusetzen.
Dieser Infostealer wird in Webbrowser-Prozesse eingeschleust (chrome.exe Und msedge.exe) mithilfe einer QueueUserAPC()-Technik. Es sammelt Webdaten und gespeicherte Identifikatoren und schleust sie dann in die Infrastruktur der Angreifer ein.
Es gibt einen zweiten Angriffspfad
Anfangs bezog sich Microsoft noch auf Windows Terminal, identifizierte aber auch eine weitere Angriffsmöglichkeit mit Batch-Skripten, VBScript, und legitimen Systemtools wie MSBuild.exe.
Microsoft Threat Intelligence weist darauf hin, dass Microsoft Defender mehrere mit solchen Aktivitäten verbundene Bedrohungselemente erkennt.
