Microsoft tire la sonnette d’alarme concernant une énième itération d’une attaque de type ClickFix. Détectée en février 2026, elle se distingue par l’utilisation de Windows Terminal comme principal vecteur d’exécution, et non la plus habituelle boîte de dialogue Exécuter (Win+R)
Comment les attaquants piègent-ils leurs victimes ?
Les victimes sont attirées sur de fausses pages web se faisant passer pour des tests CAPTCHA, des invites de dépannage ou d’autres écrans de vérification. Sur ces pages, il leur est demandé de copier une commande et de la coller directement dans le Terminal Windows (Win+X, puis I).
Pour Microsoft Threat Intelligence, cette approche avec Windows Terminal a une apparence plus légitime, et contourne les systèmes de détection spécifiques aux abus de la boîte de dialogue Exécuter.
Quelle est la finalité de la chaîne d’attaque ?
Une fois une commande collée dans le Terminal, une chaîne d’attaque se déclenche. La commande, encodée en hexadécimal et compressée, exécute des scripts PowerShell qui téléchargent plusieurs composants.
Parmi eux, une version légitime mais renommée de l’utilitaire 7-Zip est utilisée pour extraire le contenu d’une archive ZIP disposant de la charge utile finale. Le but est ainsi le déploiement du malware Lumma Stealer.
Cet infostealer s’injecte dans les processus des navigateurs web (chrome.exe et msedge.exe) à l’aide d’une technique de QueueUserAPC(). Il récolte des données web et des identifiants enregistrés, puis les exfiltre vers l’infrastructure des attaquants.
Un second chemin d’attaque existe
Toujours en impliquant Windows Terminal au départ, Microsoft a également identifié une autre voie d’attaque avec un script batch, VBScript, des outils système légitimes comme MSBuild.exe.
Microsoft Threat Intelligence souligne que Microsoft Defender détecte plusieurs éléments de menace associés à une telle activité.