Pesquisadores de segurança cibernética descobriram uma nova onda de ataques ClickFix que agora exploram o Windows Terminal para entregar cargas maliciosas diretamente em máquinas das vítimas. Diferente das iterações anteriores dessa técnica de engenharia social, que dependiam da caixa de diálogo Executar do Windows, esta campanha mais recente leva os usuários a abrir um ambiente de comando privilegiado por conta própria, tornando-a mais difícil de detectar e mais crível para usuários comuns.
O que mudou agora
Analistas da Microsoft Threat Intelligence identificaram uma campanha ClickFit generalizada em fevereiro de 2026 que visou especificamente o Windows Terminal como seu novo ambiente de execução. Em vez de direcionar as vítimas para a caixa de diálogo Executar tradicional através de Win + R, esta campanha instruía-as a usar o atalho Windows + X seguido de "I" para iniciar o Windows Terminal diretamente. Essa abordagem permitiu que os atacantes contornassem ferramentas de segurança projetadas para sinalizar o uso indevido da caixa de diálogo Executar, enquanto colocava as vítimas dentro de um ambiente de linha de comando que se assemelha a um trabalho de TI de rotina.
O dano causado por esta campanha é real e mensurável. De acordo com o Relatório de Defesa Digital da Microsoft de 2025, o ClickFix é agora o principal método de acesso inicial, responsável por 47% de todos os ataques rastreados pelos Microsoft Defender Experts, superando o phishing tradicional em 35%. A carga final nesta campanha mais recente é o Lumma Stealer, um malware de roubo de credenciais projetado para extrair nomes de usuário, senhas salvas e dados sensíveis do navegador do Chrome e Edge.
Como a infecção se desenrola
O ataque começa no momento em que uma vítima visita um site comprometido ou malicioso. Um JavaScript oculto em execução por trás da página copia silenciosamente um comando PowerShell codificado em hex e compactado com XOR para a área de transferência do usuário, sem qualquer indicação visível. Um CAPTCHA falso ou prompt de verificação então aparece na tela, personificando marcas confiáveis como Cloudflare ou Microsoft, instruindo o usuário a abrir o Windows Terminal e colar o que está na área de transferência para "corrigir" um suposto problema.
Uma vez que o comando é executado dentro do Windows Terminal, um processo PowerShell decodifica o script compactado inteiramente na memória e começa a fazer conexões de saída para servidores controlados pelo atacante. Ele baixa um executável 7-Zip renomeado e um arquivo ZIP contendo o próximo estágio do ataque. O arquivo é extraído e executado silenciosamente, sem prompts visíveis aparecendo na tela, deixando a vítima sem motivo para suspeitar que algo deu errado.
O malware então estabelece persistência escrevendo uma tarefa agendada que é executada cada vez que o sistema é reiniciado. O Lumma Stealer é colocado em C:\ProgramData\app_config\ctjb e usa injeção QueueUserAPC() para se inserir em processos ativos do navegador, incluindo chrome.exe e msedge.exe. Uma vez embutido dentro desses processos, ele lê os arquivos Login Data e Web Data armazenados pelo navegador, coletando credenciais salvas e entradas sensíveis de preenchimento automático antes de enviar tudo para a infraestrutura remota do atacante.
Defesas e recomendações
A detecção é mais difícil porque wt.exe é um componente confiável do sistema em muitas máquinas Windows. Ferramentas de monitoramento de segurança podem não sinalizar imediatamente a atividade do PowerShell gerada a partir do Windows Terminal, dando ao atacante tempo não detectado para completar a cadeia de infecção completa.
Para reduzir a exposição a essa ameaça, as organizações devem treinar os funcionários para nunca colar comandos em nenhum terminal solicitado por um site. O Windows Terminal e o PowerShell devem ser restritos a contas administrativas através da Política de Grupo. As equipes de segurança devem inspecionar regularmente as chaves do registro em HKCU\Software\Microsoft\Windows\CurrentVersion\Run e revisar o Agendador de Tarefas do Windows para tarefas agendadas não reconhecidas. Ferramentas de detecção de endpoint devem ser configuradas para monitorar e alertar sobre processos do PowerShell gerados por wt.exe, e as definições de antimalware devem ser atualizadas regularmente em todos os endpoints.