微软给大家提了个醒,最近有一种新型的ClickFix攻击正盯着Windows用户呢。这次的把戏变了,不再是诱骗用户打开那个Win+R运行框了,而是让他们用Windows+X快捷键打开那个Windows终端。因为Windows终端是程序员日常干活的合法工具,这么做更容易瞒过安全软件,看起来跟普通操作没两样。 这事儿是从2026年2月就开始冒头的,而且还升级过了,就是为了躲开现有的检测手段。骗子们把你骗到一个看着像是验证码或者故障排查的网页上,然后给你一串看着很无害的命令。等你把那个高度编码的PowerShell命令给复制粘贴了,你就中招了。 有个版本比较狠,它会自己解开一个7-Zip压缩包下载下来,接着提取里面的组件、留后门、修改Microsoft Defender的排除项,最后就把Lumma这个工具部署上去。这玩意儿专门偷Chrome和Edge浏览器里的密码。 还有个路子也挺难防,就是通过类似的命令拿到批处理脚本和VB文件。这时候攻击者会用MSBuild这些内置工具来干活,最后连上加密货币的区块链系统,还是执行那个Lumma窃取器去偷敏感信息。 这种攻击已经搞了一年多了,基本靠骗术让你自己去跑恶意命令。骗子把这些坏指令包装成普通的验证步骤,骗了不少人。微软现在发现他们正不断调整手法来保持领先地位,就是利用了大家对合法终端窗口的信任感。