Operação observada em fevereiro de 2026 troca o abuso da janela Executar pelo Windows Terminal, conduzindo vítimas a colar comandos ofuscados que baixam estágios do Lumma Stealer e coletam artefatos de navegadores.
| Componente | Cadeia ClickFix com Windows Terminal, PowerShell, arquivo ZIP, binário legítimo do 7-Zip renomeado e Lumma Stealer. |
| Vetor | Páginas falsas de CAPTCHA, solução de problemas ou verificação instruem o usuário a abrir o Windows Terminal e colar um comando ofuscado copiado da página. |
| Impacto | Coleta de artefatos de navegadores, incluindo Web Data e Login Data, com exfiltração para infraestrutura controlada pelo operador. |
| Prioridade | Detectar uso anômalo de Windows Terminal, PowerShell, comando operacional omitido, scripts em AppData\Local e injeção baseada em QueueUserAPC() contra chrome.exe e msedge.exe. |
| Artefatos | Comando codificado em hexadecimal e comprimido com XOR, carga ZIP, binário 7-Zip renomeado com nome aleatório, script batch em AppData\Local e Visual Basic Script gravado em %TEMP%. |
| Técnica | A cadeia inclui abuso de LOLBin por meio de MSBuild.exe, conexão a endpoints RPC de blockchain associada a etherhiding e injeção de código em processos de navegador. |
Uma campanha ClickFix observada em fevereiro de 2026 passou a usar o Windows Terminal como ponto inicial de execução para entregar o Lumma Stealer. A mudança é relevante porque esse tipo de engenharia social historicamente induzia usuários a abrir a janela Executar do Windows e colar comandos fornecidos por páginas falsas. Nesta variação, a isca orienta a vítima a acionar o Windows Terminal diretamente, criando uma aparência mais compatível com fluxos administrativos legítimos e reduzindo a eficácia de detecções desenhadas apenas para abuso da janela Executar.
O conteúdo malicioso é apresentado por páginas que simulam CAPTCHA, etapas de verificação ou prompts de correção de problemas. O usuário recebe um comando ofuscado, codificado em hexadecimal e comprimido com XOR, e é conduzido a colá-lo em uma sessão do Terminal. A execução dispara instâncias adicionais do próprio Terminal e do PowerShell, até chegar a um processo responsável por decodificar o script e continuar a cadeia. O objetivo final relatado é instalar o Lumma Stealer e coletar artefatos de alto valor de navegadores, especialmente bases associadas a credenciais e dados de uso armazenados localmente.
A técnica amplia o risco operacional porque mistura engenharia social, uso de binários nativos do Windows e abuso de ferramentas legítimas. O ponto central para defesa não é apenas bloquear uma família de malware, mas identificar a sequência anormal: navegador conduzindo o usuário a copiar texto operacional, abertura manual do Terminal, PowerShell com conteúdo codificado, download de ZIP, extração por binário do 7-Zip renomeado e atividade subsequente dentro de processos de navegador.
Na primeira rota descrita, a página ClickFix entrega um comando ofuscado ao usuário. Depois que o texto é colado no Windows Terminal, a cadeia cria novas instâncias de Terminal ou PowerShell e invoca um processo do PowerShell para decodificar o script. A partir desse estágio, ocorre o download de uma carga em ZIP e de um binário legítimo do 7-Zip renomeado, salvo em disco com nome aleatório. O uso de uma ferramenta legítima de compactação reduz a necessidade de lógica própria para extração e pode confundir análises que olham apenas para nomes esperados de utilitários.
Após a extração do ZIP, a execução prossegue em múltiplos estágios até o Lumma Stealer. O malware tem como alvo artefatos de navegador identificados como Web Data e Login Data, que normalmente concentram dados úteis para roubo de credenciais, preenchimento automático e informações associadas a perfis de navegação. O material analisado confirma a coleta desses artefatos e a exfiltração para infraestrutura controlada pelo operador, sem fornecer domínios, endereços IP ou hashes publicáveis.
Uma segunda rota foi observada quando o comando comprimido é colado no Terminal. Nesse caminho, comando operacional omitido baixa um script batch com nome aleatório para AppData\Local. O script escreve um Visual Basic Script na pasta temporária do usuário e é executado com argumento de linha de comando específico. Em seguida, o mesmo batch passa por MSBuild.exe, caracterizando abuso de LOLBin. A cadeia também se conecta a endpoints RPC de blockchain, comportamento associado a etherhiding, e realiza injeção de código baseada em QueueUserAPC() contra chrome.exe e msedge.exe para acessar os dados visados nos navegadores.
O detalhe defensivo mais importante é que a campanha não depende apenas de exploração técnica remota. Ela exige interação do usuário e usa a confiança visual de fluxos de verificação para transformar a vítima em acionadora da execução. Por isso, controles centrados exclusivamente em anexos, macros ou downloads diretos deixam lacunas quando o navegador entrega instruções e o comando é transportado pela área de transferência até um terminal local.
A superfície exposta inclui estáções Windows nas quais usuários conseguem abrir o Windows Terminal e executar comandos colados a partir de páginas web. Ambientes que já monitoravam apenas padrões de abuso da janela Executar podem não capturar a mudança de interface, porque o processo inicial passa por wt.exe e por fluxos que se parecem com manutenção local. O risco aumenta quando o usuário tem permissões suficientes para gravar em AppData\Local, criar arquivos temporários, iniciar PowerShell, acionar comando operacional omitido, baixar conteúdo e executar binários legítimos renomeados.
Os ativos mais sensíveis na cadeia são os perfis de navegador e os artefatos armazenados por Chrome e Edge. A menção a chrome.exe e msedge.exe indica que a coleta ocorre em processos amplamente presentes em endpoints corporativos. Como o comportamento envolve injeção por QueueUserAPC(), a telemetria de EDR deve correlacionar criação de processos, escrita de arquivos, carregamento de scripts, extração de arquivos e acesso incomum a bases de dados de navegador em vez de depender de um único alerta isolado.
- Estáções Windows com Windows Terminal disponível e usuários suscetíveis a páginas falsas de CAPTCHA, verificação ou suporte técnico.
- Perfis de navegadores que armazenam
Web DataeLogin Data, especialmente em Chrome e Edge. - Ambientes com monitoramento focado em abuso da janela Executar, sem regras equivalentes para
wt.exe, PowerShell e cadeias iniciadas por interação do usuário. - Diretórios de usuário como
AppData\Locale%TEMP%, usados para scripts intermediários e arquivos de apoio.
A investigação deve começar pela relação temporal entre navegação web, uso da área de transferência e abertura do Windows Terminal. Embora nem todo ambiente registre conteúdo copiado, a sequência de navegador ativo, lançamento de wt.exe, criação de processos PowerShell e execução de conteúdo codificado é um padrão forte para hunting. A defesa deve procurar sessões do Terminal iniciadas logo após acesso a páginas com aparência de verificação, seguidas por downloads de ZIP e criação de executáveis ou utilitários renomeados com nomes aleatórios.
No endpoint, os principais sinais estão na árvore de processos e nas escritas em disco. Um fluxo suspeito pode envolver wt.exe chamando PowerShell, PowerShell baixando arquivos compactados, 7-Zip legítimo executado sob nome incomum, extração de conteúdo em diretórios de usuário e posterior atividade de comando operacional omitido, scripts batch, Visual Basic Script e MSBuild.exe. Como o malware tenta acessar artefatos de navegadores, eventos de leitura de bancos locais de Chrome e Edge por processos incomuns ou por processos injetados também devem ser priorizados.
Na rede, a campanha menciona exfiltração para infraestrutura controlada pelo operador e conexão a endpoints RPC de blockchain associada a etherhiding. Sem indicadores concretos, a abordagem mais segura é caçar classes de comportamento: processos de script iniciando conexões externas, tráfego logo após a extração de ZIP, conexões de processos incomuns para serviços RPC de blockchain e comunicações de navegador que coincidam com injeção de código ou acesso a artefatos de credenciais.
wt.exeiniciado após interação com páginas de verificação, CAPTCHA ou solução de problemas, seguido por PowerShell com conteúdo codificado ou ofuscado.- Criação de ZIP, extração por binário 7-Zip renomeado e nomes de arquivos aleatórios em diretórios graváveis pelo usuário.
- Script batch salvo em
AppData\Locale Visual Basic Script gravado em%TEMP%. - Execução de
MSBuild.execomo filho ou etapa posterior de script batch sem relação com atividade legítima de desenvolvimento. - Eventos de injeção ou acesso anômalo envolvendo
chrome.exeemsedge.exe, com foco emWeb DataeLogin Data.
A mitigação deve combinar bloqueio técnico, redução de superfície e educação direcionada ao padrão ClickFix. O primeiro passo é atualizar detecções que antes observavam apenas abuso da janela Executar para também cobrir Windows Terminal, PowerShell, comando operacional omitido, MSBuild.exe e utilitários legítimos renomeados. Regras devem correlacionar a cadeia completa, porque cada componente isolado pode parecer legítimo em estáções de administração, desenvolvimento ou suporte.
Controles de aplicação ajudam a limitar a execução de scripts e binários em diretórios de usuário. Políticas que restringem PowerShell desnecessário, bloqueiam execução de scripts em AppData\Local e %TEMP%, e exigem reputação ou caminho confiável para ferramentas de compactação reduzem a chance de a cadeia completar. Para endpoints de alto risco, a organização deve revisar se usuários comuns precisam abrir Windows Terminal ou executar ferramentas de desenvolvimento como MSBuild.exe fora de contextos controlados.
Na resposta a incidente, a prioridade é preservar a árvore de processos, listar artefatos recém-criados em diretórios de usuário, coletar eventos de PowerShell, verificar execuções recentes de wt.exe, comando operacional omitido e MSBuild.exe, e revisar acessos a dados de navegador. Como o objetivo confirmado inclui coleta e exfiltração de Web Data e Login Data, contas associadas a navegadores afetados devem passar por revisão de sessão, rotação de credenciais quando aplicável e invalidação de tokens persistentes conforme a política interna.
- Expandir detecções de ClickFix para cobrir Windows Terminal e não apenas a janela Executar.
- Bloquear ou alertar execução de scripts e binários baixados em
AppData\Locale%TEMP%. - Monitorar PowerShell com conteúdo codificado, downloads de ZIP e uso de 7-Zip renomeado.
- Restringir
MSBuild.exea estáções e usuários com necessidade real de desenvolvimento. - Em hosts suspeitos, revisar credenciais e sessões ligadas a perfis de Chrome e Edge após confirmar acesso a
Web DataouLogin Data.
0 Comentários