Microsoft révèle la chaîne d'attaque ClickFix Terminal
Microsoft a divulgué le 6 mars une campagne sophistiquée d'ingénierie sociale qui arme l'application Windows Terminal pour distribuer le malware Lumma Stealer. L'attaque, désignée sous le nom de ClickFix, a été activement observée tout au long de février 2026.
Contrairement aux campagnes précédentes qui s'appuyaient sur la boîte de dialogue Exécuter de Windows, cette variante cible spécifiquement le programme émulateur de terminal. Les attaquants trompent les utilisateurs pour qu'ils exécutent des commandes malveillantes directement via l'interface de Windows Terminal.
Utilisateurs de Windows Terminal à risque
La campagne affecte les systèmes Windows exécutant l'application Windows Terminal. Toutes les versions de Windows 10 et Windows 11 avec l'émulateur de terminal installé sont potentiellement vulnérables à cette technique d'ingénierie sociale.
Les organisations et les utilisateurs individuels qui utilisent régulièrement des interfaces en ligne de commande font face à un risque accru. L'attaque n'exploite pas une vulnérabilité logicielle mais repose sur l'interaction de l'utilisateur pour réussir.
Mécanismes d'attaque ClickFix et réponse
La campagne ClickFix instruit les victimes d'ouvrir Windows Terminal et de coller des commandes malveillantes qui téléchargent et exécutent Lumma Stealer. Ce malware voleur d'informations cible les identifiants, les portefeuilles de cryptomonnaie et les données de navigateur.
Microsoft recommande l'éducation des utilisateurs et la protection des points de terminaison pour contrer ces attaques. Les organisations devraient mettre en œuvre des politiques de contrôle des applications et surveiller l'utilisation du terminal pour détecter des modèles d'exécution de commandes suspects. Le Microsoft Security Response Center continue de suivre cette activité menaçante.
