【安全资讯】微软揭露新型ClickFix骗局传播Lumma信息窃取木马

概要：

网络安全威胁不断演变，社会工程学攻击手段日益狡猾。微软威胁情报团队近期发现，长期活跃的ClickFix诈骗活动出现新变种，攻击者诱导Windows用户自行在Windows终端中执行恶意命令，从而部署臭名昭著的Lumma信息窃取木马，严重威胁用户凭证安全。

主要内容：

此次攻击活动始于今年二月，其核心在于对传统ClickFix攻击手册的“微调”。攻击者不再引导受害者使用Win+R快捷键打开“运行”对话框，而是指示他们通过Windows+X→I快捷键启动Windows终端。由于Windows终端是开发者日常使用的合法管理工具，其活动更容易融入正常的系统行为，从而规避了部分基于“运行”对话框异常活动的安全检测。

攻击流程遵循成熟的社会工程学模式。受害者首先会访问伪装成验证提示、CAPTCHA检查或故障排除指南的网页。页面随后指示用户复制并粘贴一个命令到Windows终端中，通常被包装成“验证连接”或“修复错误”等无害操作。用户实际粘贴的是一个经过高度编码的PowerShell命令。

该命令会触发一系列复杂的操作。在一种攻击版本中，命令会自我解包，下载一个重命名后的7-Zip压缩工具及一个压缩的有效载荷。随后，该工具会提取更多组件，用于建立持久化、篡改Microsoft Defender排除项，并开始收集系统及浏览器数据。最终阶段部署Lumma Stealer，该窃密程序会注入Chrome和Edge进程，窃取存储的登录凭证等敏感信息。另一种感染路径则通过编码命令获取批处理脚本，进而投放并执行VBScript文件，最终同样指向凭证窃取流程。

ClickFix活动已持续一年有余，其成功关键在于诱骗用户亲手运行恶意命令。此次技术演变表明，攻击者正通过利用合法工具来保持对安全检测的领先优势，这对终端用户教育和行为检测提出了更高要求。