05.01.2026
1 хв
730
Нова кампанія соціальної інженерії ClickFix націлена на готельний сектор Європи та використовує підроблені екрани Blue Screen of Death (BSOD) Windows, щоб змусити співробітників вручну запустити шкідливі команди та заразити власні системи.
За даними дослідників Securonix, кампанія, відстежувана під назвою PHALT#BLYX, стартувала у грудні 2025 року. Атака починається з фішингових листів, які імітують повідомлення від Booking.com про скасування бронювання з великою сумою повернення. Це створює відчуття терміновості, особливо для персоналу готелів.
Перехід за посиланням у листі веде на високоточну підробку сайту Booking.com, розміщену на сторонньому домені. Сторінка повністю копіює дизайн оригіналу — кольори, шрифти та логотипи. Вбудований JavaScript спочатку показує помилку «завантаження триває надто довго», а після взаємодії переводить браузер у повноекранний режим і демонструє фальшивий BSOD.
На відміну від реального «синього екрана», підробка містить інструкції: відкрити вікно Run, вставити команду з буфера обміну та підтвердити її виконання. Таким чином жертва сама запускає PowerShell-команду, яка завантажує шкідливий .NET-проєкт, компілює його за допомогою легітимного MSBuild.exe і встановлює бекдор.
Зловмисне ПЗ, зафіксоване у цій кампанії, — DCRAT (DcRAT), популярний троян віддаленого доступу. Після запуску він додає винятки у Windows Defender, намагається отримати адміністративні права через UAC, завантажує додаткові компоненти через BITS та закріплюється в системі через папку автозапуску.
Троян інжектується в легітимний процес
aspnet_compiler.exe, працює у пам’яті та після підключення до C2-сервера передає повний відбиток системи. Функціональність включає віддалений робочий стіл, кейлогінг, реверсний shell та завантаження додаткових корисних навантажень, зокрема криптомайнерів.
Кампанія демонструє, що соціальна інженерія залишається ефективнішою за технічні експлойти, особливо у сферах з високим навантаженням і стресом для персоналу. Використання фейкових BSOD-екранів — небезпечна еволюція ClickFix-підходу, яка може призвести до повного компрометування корпоративних мереж без жодного «злому» у класичному розумінні.
