Génération NT : Microsoft tire la sonnette d’alarme concernant une énième itération d’une attaque de type ClickFix. Détectée en février 2026, elle se distingue par l’utilisation de Windows Terminal comme principal vecteur d’exécution, et non la plus habituelle boîte de dialogue Exécuter (Win+R) 

Les victimes sont attirées sur de fausses pages web se faisant passer pour des tests CAPTCHA, des invites de dépannage ou d’autres écrans de vérification. Sur ces pages, il leur est demandé de copier une commande et de la coller directement dans le Terminal Windows (Win+X, puis I).

Pour Microsoft Threat Intelligence, cette approche avec Windows Terminal a une apparence plus légitime, et contourne les systèmes de détection spécifiques aux abus de la boîte de dialogue Exécuter.

Une fois une commande collée dans le Terminal, une chaîne d’attaque se déclenche. La commande, encodée en hexadécimal et compressée, exécute des scripts PowerShell qui téléchargent plusieurs composants.