Исследователи компании Securonix обнаружили новую кампанию социальной инженерии ClickFix, которая нацелена на индустрию гостеприимства в Европе. Злоумышленники используют поддельные экраны BSOD Windows для распространения вредоносного ПО. Кампанию впервые заметил аналитик вредоносного ПО JAMESWT_WT в декабре. Специалисты Securonix присвоили ей название PHALT#BLYX.

Атака начинается с фишингового письма, которое имитирует сообщение от Booking[.]com об отмене бронирования. Письма отправляются сотрудникам гостиниц и отелей. В сообщении указывается крупная сумма возврата, чтобы создать у получателя ощущение срочности. Когда жертва переходит по ссылке из письма, она попадает на поддельный сайт Booking[.]com, размещённый на домене low‑house[.]com.

Исследователи из Securonix отмечают, что сайт представляет собой точную копию настоящего ресурса по бронированию жилья. Страница использует официальный брендинг Booking[.]com, включая логотипы, цветовую палитру и стили шрифтов. Для неподготовленного пользователя она выглядит как настоящий сайт. На странице размещён вредоносный JavaScript‑код, который выводит сообщение об ошибке загрузки. Пользователю предлагается нажать кнопку для обновления страницы.

После нажатия кнопки браузер переходит в полноэкранный режим и отображает поддельный экран ВSOD Windows. На экране появляются инструкции, которые предлагают открыть диалоговое окно «Выполнить» и нажать сочетание клавиш CTRL+V. Эта команда вставляет вредоносный код, который злоумышленники заранее скопировали в буфер обмена. Затем пользователя просят нажать кнопку OK или клавишу Enter для выполнения команды.

Настоящие экраны BSOD Windows не содержат инструкций по восстановлению системы. показывают только код ошибки и уведомление о перезагрузке. Однако неопытные пользователи или сотрудники гостиниц, которые спешат разрешить спорную ситуацию, могут не заметить признаки обмана.

Вставленная команда запускает PowerShell, который открывает фиктивную административную страницу Booking[.]com. В фоновом режиме скрипт загружает вредоносный проект .NET и собирается с помощью легитимного компилятора Windows MSBuild.exe. После запуска вредоносная программа добавляет исключения в Windows Defender и запрашивает права администратора через UAC. Затем вредонос загружает основной загрузчик через службу фоновой интеллектуальной передачи BITS и закрепляется в системе, размещая файл в папке автозагрузки.

Вредоносная программа (ВПО) staxs.exe — это троян удалённого доступа DCRAT. Это ВПО часто используется злоумышленниками для получения контроля над заражёнными устройствами. Вредонос внедряется в легитимный процесс aspnet_compiler.exe и выполняется непосредственно в памяти. При первом подключении к командному серверу программа отправляет полную информацию о системе и ожидает команд.

Троян поддерживает функции удалённого рабочего стола, перехват нажатий клавиш, обратную оболочку и выполнение дополнительных программ в памяти. В случае, который изучили исследователи Securonix, злоумышленники установили на заражённые компьютеры майнер криптовалюты. Получив удалённый доступ, атакующие могут распространяться на другие устройства в сети, похищать данные и компрометировать другие системы организации.