Hackerii ruși falsifică o eroare BSOD pe site-uri false Booking.com pentru a răspândi viruși

Infractorii cibernetici folosesc o tehnică de inginerie socială cunoscută sub numele de ClickFix pentru a răspândi malware printr-un fals Windows ecran albastru al morții sau BSOD. Campania, identificată de firma de securitate Securonix ca PHALT#BLYX, vizează în primul rând industria ospitalității la Europa, începând cu e-mailurile de phishing care imită notificările de la Booking.com despre anulările rezervărilor.

Victimele primesc mesaje false urgente despre rezervările anulate, cu link-uri care duc la pagini imitatoare ale site-ului de rezervare. Atunci când accesează aceste pagini, utilizatorii se confruntă cu mesaje de eroare simulate, urmate de o animație complet cu ecran albastru care preia întregul browser, indicându-i să execute comenzi pentru a remedia presupusa problemă critică.

Această abordare exploatează recunoașterea imediată a BSOD ca un semn al unei defecțiuni grave a sistemului, ceea ce duce utilizatorii mai puțin experimentați să urmeze direcții rău intenționate fără îndoială. Metoda convinge victimele să copieze și să lipească scripturi în dialogul Executar al lui Windows, inițiind infecția.

Cum funcționează atacul pas cu pas

Atacatorii trimit e-mailuri de phishing deghizate în comunicări oficiale de la Booking.com, avertizând cu privire la anulări sau probleme de rezervare. E-mailurile Esses includ butoane pentru verificarea detaliilor, care redirecționează către site-uri web false extrem de convingătoare.

Când încărcați pagina falsă, apare un mesaj lung de încărcare, care vă încurajează să faceți clic pe un buton de reîmprospătare. Acțiunea Essa activează simularea ecranului albastru, cu instrucțiuni detaliate pentru apăsarea combinațiilor de taste și lipirea comenzilor.

• Scriptul rău intenționat este copiat automat în clipboard.
• Urmând instrucțiunile, utilizatorul rulează o comandă PowerShell care descarcă fișiere suplimentare.
• Apoi, instrumentele Windows legitime, cum ar fi MSBuild, compilează și execută sarcina utilă încorporată.

Acest lanț în mai multe etape vă permite să ocoliți apărările de bază, deoarece utilizează procese de încredere ale sistemului de operare.

Detalii despre malware instalat

Sarcina utilă finală este DCRat, un troian de acces la distanță asociat cu grupurile de limbă rusă sau rusă. Esse malware oferă atacatorului control complet, permițând monitorizarea de la distanță și executarea comenzilor suplimentare.

Odată instalat, DCRat dezactivează Windows Defender pentru a evita detectarea, adaugă excluderi antivirus și stabilește persistența prin fișierele din directorul de pornire. De asemenea, Ele încearcă în mod repetat să ridice privilegiile, solicitând Controle, Conta și Usuário până la obținerea permisiunii administrative.

Troianul colectează informații despre sistem, cum ar fi hardware-ul, software-ul instalat și titlurile ferestrelor active. Além fură, în plus, datele din clipboard, acreditările și permite injectarea altor programe malware.

Experții notează că utilizarea instrumentelor native Windows face dificilă identificarea prin soluțiile tradiționale de securitate.

Sectorul hotelier ca obiectiv principal

Campania se concentrează pe angajații hotelurilor și companiilor de ospitalitate din Europa, explorând urgența tipică acestui mediu. Reservas și anulările sunt teme comune, crescând credibilitatea e-mailurilor false.

Leia Tambem

Noul test de baterie plasează Galaxy S26 Ultra înaintea iPhone 17 Pro Max în clasamentul global

Retailul digital reduce valoarea smartphone-ului Galaxy S25 5G cu bonusuri bancare și schimb de dispozitive

Adaptorul wireless CarPlay de la Amazon are o reducere de 50% și cote ridicate de aprobare din partea șoferilor

Momentul coincide cu perioadele de mare cerere, cum ar fi vacanțele, când echipele se ocupă de un volum mai mare de interogări. Ataques similare cu ClickFix au explorat deja mărci de încredere, dar această variantă cu BSOD reprezintă o evoluție în rafinament.

Cercetătorii indică legături către actori ruși, pe baza limbajului din părțile codului și a utilizării DCRat, asociate anterior cu campanii împotriva unor ținte specifice.

Măsuri de prevenire recomandate

Utilizatorii ar trebui să fie atenți la mesajele de rezervare neașteptate, verificând direct pe site-ul oficial Booking.com. Evite faceți clic pe link-urile de e-mail; introduceți manual adresa în browser.

În cazul unor erori suspecte de browser, închideți-l complet în loc să urmați instrucțiunile de pe ecran. Telas cazuri reale BSOD nu oferă pași de recuperare detaliați cu comenzi de executat.

• Actualizați sistemele și antivirusul în mod regulat.
• Activați protecția împotriva phishingului în browsere.
• Antrenează echipele despre inginerie socială.
• Utilizați autentificarea cu mai mulți factori pentru conturile critice.

Companiile din sectorul ospitalității pot implementa filtre avansate pe e-mailuri și pot monitoriza traficul suspect.

Evoluția tacticilor ClickFix

Tehnica ClickFix a câștigat popularitate din 2024, cu variante care simulează actualizări de browser sau CAPTCHA false. Versiunea Essa încorporează BSOD pentru a crește sentimentul de urgență și panică.

Spre deosebire de infecțiile automate, metoda depinde de acțiunea manuală a victimei, reducând șansele de detectare precoce prin instrumente automate. Combinația cu momeli tematice face ca atacul să fie mai țintit și mai eficient.

Analiștii prezic variații similare explorând alte mărci populare din sectoarele vulnerabile.

Caracteristicile tehnice ale campaniei

Domeniul folosit pentru găzduire include elemente precum 2fa-bns.com, înregistrate pentru a ascunde activitățile rău intenționate. PowerShell inițial descarcă un proiect MSBuild care execută sarcina utilă în memorie, folosind golirea proceselor în procesele legitime.

Persistența are loc prin fișierul .url din folderul Startup, asigurând execuția după reporniri. Malware-ul verifică privilegiile și insistă asupra ridicării dacă este necesar.