文章总结： 微软Defender专家发现新型ClickFix社会工程攻击，攻击者利用Windows+X->I快捷键启动WindowsTerminal，绕过传统运行对话框检测。该手法伪装成合法管理流程，诱导用户粘贴恶意PowerShell命令，利用终端特权环境执行代码，显著提升了攻击隐蔽性与可信度，对企业安全构成威胁。 综合评分： 80 文章分类： 社会工程学,威胁情报,实战经验

ClickFix 社会工程攻击活动

TtTeam

2026年3月8日 17:40 中国香港

微软 Defender 专家于 2026 年 2 月发现了一场广泛传播的 ClickFix 社会工程攻击活动，该活动利用 Windows Terminal 作为主要执行机制。与传统的 Win + R →粘贴→执行方式不同，此次攻击活动指示目标用户使用 Windows + X → I 快捷键直接启动 Windows Terminal (wt.exe)，从而将用户引入一个特权命令执行环境。该环境伪装成合法的管理工作流程，使用户感觉更加可信。

这种方法绕过了专门针对“运行”对话框滥用的检测机制，同时利用了Windows终端的合法性和易用性。一旦终端打开，攻击者就会被诱导粘贴恶意PowerShell命令，这些命令通过伪造的验证码页面、故障排除提示或看似常规且无害的验证式诱饵传递。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：TtTeam 《ClickFix 社会工程攻击活动》