Cibercriminosos estão utilizando uma técnica de engenharia social conhecida como ClickFix para disseminar malware por meio de uma falsa tela azul da morte, ou BSOD, do Windows. A campanha, identificada pela empresa de segurança Securonix como PHALT#BLYX, atinge principalmente o setor de hospitalidade na Europa, começando com e-mails de phishing que imitam notificações do Booking.com sobre cancelamentos de reservas.
As vítimas recebem mensagens falsas urgentes sobre reservas canceladas, com links que levam a páginas imitadoras do site de reservas. Ao acessar essas páginas, os usuários enfrentam mensagens de erro simuladas, seguidas de uma animação completa de tela azul que ocupa todo o navegador, instruindo-os a executar comandos para corrigir o suposto problema crítico.
Essa abordagem explora o reconhecimento imediato da BSOD como sinal de falha grave no sistema, levando usuários menos experientes a seguir as orientações maliciosas sem questionar. O método convence as vítimas a copiar e colar scripts no diálogo Executar do Windows, iniciando a infecção.
Como funciona o ataque passo a passo
Os atacantes enviam e-mails phishing disfarçados de comunicações oficiais do Booking.com, alertando sobre cancelamentos ou problemas em reservas. Esses e-mails incluem botões para verificar detalhes, que redirecionam para sites falsos altamente convincentes.
Ao carregar a página falsa, surge uma mensagem de carregamento prolongado, incentivando o clique em um botão de atualização. Essa ação ativa a simulação da tela azul, com instruções detalhadas para pressionar combinações de teclas e colar comandos.
- O script malicioso é copiado automaticamente para a área de transferência.
- Ao seguir as orientações, o usuário executa um comando PowerShell que baixa arquivos adicionais.
- Em seguida, ferramentas legítimas do Windows, como MSBuild, compilam e executam o payload embutido.
Essa cadeia multistage permite contornar defesas básicas, pois utiliza processos confiáveis do sistema operacional.
Detalhes do malware instalado
O payload final é o DCRat, um trojan de acesso remoto associado a grupos russos ou de língua russa. Esse malware concede controle total ao atacante, permitindo monitoramento remoto e execução de comandos adicionais.
Uma vez instalado, o DCRat desativa o Windows Defender para evitar detecção, adiciona exclusões de antivírus e estabelece persistência por meio de arquivos no diretório de inicialização. Ele também tenta elevar privilégios repetidamente, exibindo prompts de Controle de Conta de Usuário até obter permissão administrativa.
O trojan coleta informações do sistema, como hardware, software instalado e títulos de janelas ativas. Além disso, rouba dados do clipboard, credenciais e permite injeção de outros malwares.
Especialistas observam que o uso de ferramentas nativas do Windows dificulta a identificação por soluções de segurança tradicionais.
Setor hoteleiro como alvo principal
A campanha foca em funcionários de hotéis e empresas de hospitalidade na Europa, explorando a urgência típica desse ambiente. Reservas e cancelamentos são temas comuns, aumentando a credibilidade dos e-mails falsos.
O timing coincide com períodos de alta demanda, como férias, quando equipes lidam com volume maior de consultas. Ataques semelhantes ao ClickFix já exploraram marcas confiáveis, mas essa variante com BSOD representa evolução na sofisticação.
Pesquisadores indicam ligação com atores russos, baseado no idioma em partes do código e no uso do DCRat, previamente associado a campanhas contra alvos específicos.
Medidas de prevenção recomendadas
Usuários devem desconfiar de mensagens inesperadas sobre reservas, verificando diretamente no site oficial do Booking.com. Evite clicar em links de e-mails; digite o endereço manualmente no navegador.
Em caso de erros suspeitos no navegador, feche-o completamente em vez de seguir instruções na tela. Telas reais de BSOD não oferecem passos de recuperação detalhados com comandos a executar.
- Atualize sistemas e antivírus regularmente.
- Ative proteções contra phishing em navegadores.
- Treine equipes sobre engenharia social.
- Use autenticação multifator em contas críticas.
Empresas do setor hoteleiro podem implementar filtros avançados em e-mails e monitoramento de tráfego suspeito.
Evolução das táticas ClickFix
A técnica ClickFix ganhou popularidade desde 2024, com variantes simulando atualizações de navegador ou CAPTCHAs falsos. Essa versão incorpora a BSOD para aumentar o senso de urgência e pânico.
Diferentemente de infecções automáticas, o método depende da ação manual da vítima, reduzindo chances de detecção precoce por ferramentas automatizadas. A combinação com lures temáticos torna o ataque mais direcionado e eficaz.
Analistas preveem variações semelhantes explorando outras marcas populares em setores vulneráveis.
Características técnicas da campanha
O domínio usado para hospedagem inclui elementos como 2fa-bns.com, registrado para ocultar atividades maliciosas. O PowerShell inicial baixa um projeto MSBuild que executa o payload em memória, utilizando process hollowing em processos legítimos.
Persistência ocorre via arquivo .url na pasta Startup, garantindo execução após reinicializações. O malware verifica privilégios e insiste em elevação se necessário.