Дослідники Securonix виявили складну ClickFix-кампанію PHALT#BLYX, спрямовану на готельний сектор Європи. Зловмисники видають себе за Booking.com, показують у браузері реалістичну імітацію «синього екрана смерті» (BSOD) та змушують співробітників готелів самостійно виконати шкідливу команду PowerShell, що врешті приводить до встановлення трояна віддаленого доступу DCRAT.
ClickFix-атаки: коли користувач сам запускає шкідливий код
ClickFix — це клас атак, де основний акцент робиться не на експлойтах у програмному забезпеченні, а на маніпуляції користувачем. Жертву крок за кроком підводять до того, щоб вона власноруч скопіювала й запустила команду (зазвичай через PowerShell або інший термінал), вважаючи це «офіційною інструкцією з виправлення помилки.
Така техніка суттєво ускладнює виявлення інциденту: з точки зору системи безпеки дію ініціює легальний користувач із типовими правами, а не невідомий процес. За даними профільних звітів, зокрема Verizon DBIR, соціальна інженерія і надалі залишається одним з провідних векторів атаки: до 70–75% інцидентів містять «людський фактор». ClickFix органічно вписується в цю тенденцію, комбінуючи фішинг, підроблені веб‑сторінки та психологічний тиск.
Фішинг під Booking.com: «повернення коштів» як тригер для персоналу
Кампанія PHALT#BLYX починається з фішингового листа, стилізованого під повідомлення Booking.com про скасування бронювання. У тексті згадується значна сума повернення — понад 1000 євро, що підвищує ймовірність того, що співробітник фронт-офісу захоче негайно перевірити деталі транзакції.
Посилання з листа веде на домен low-house[.]com, де розгорнуто якісну підробку сайту Booking.com з використанням фірмових кольорів, логотипів та схожого макета сторінки. За умов високого навантаження на ресепшн такі сторінки нерідко проходять поверхневу перевірку, а бренд Booking.com спрацьовує як фактор довіри.
Підроблений BSOD у браузері: примус до запуску PowerShell
На фішинговій сторінці завантажується шкідливий JavaScript. Спочатку користувач бачить повідомлення «Loading is taking too long» із пропозицією «оновити» або продовжити завантаження. Після кліку браузер розгортається на весь екран, а контент підмінюється дуже реалістичною копією BSOD Windows.
На відміну від справжнього «синього екрану», ця версія містить докладні «інструкції з відновлення»: відкрити вікно «Виконати», натиснути Ctrl+V (команда вже заздалегідь поміщена в буфер обміну скриптом сторінки) і підтвердити запуск. Для менш технічних співробітників готелю це виглядає як стандартна процедура усунення критичної помилки системи, особливо якщо інцидент відбувається в розпал роботи зі строковими бронюваннями.
Технічний ланцюжок зараження: MSBuild, вимкнення захисту та DCRAT
Компіляція .NET-проєкту через легітимний MSBuild
Після запуску вставленої з буфера обміну команди PowerShell жертва бачить фальшиву «адміністративну панель Booking.com», яка створює ілюзію штатної роботи. Паралельно скрипт завантажує .NET‑проєкт v.proj і компілює його за допомогою легітимного системного інструмента MSBuild.exe. Використання штатних компонентів Windows дозволяє обходити багато сигнатурних механізмів захисту.
Оминання антивіруса, закріплення та завантаження пейлоада
Отримавши початковий контроль, шкідливе ПЗ додає виключення в Windows Defender, запитує підвищені права через UAC і за допомогою служби BITS (Background Intelligent Transfer Service) завантажує основний завантажувач. Для закріплення використовується .url‑файл у папці автозавантаження, що гарантує повторний запуск малварі при кожному вході користувача в систему.
Троян DCRAT і приховане виконання в легітимному процесі
Фінальний етап — розгортання DCRAT (форк AsyncRAT), поширеного інструмента в екосистемі кримінальних ботнетів. Шкідливий код впроваджується в легітимний процес aspnet_compiler.exe через техніку process hollowing, коли оригінальний вміст процесу замінюється трояном і виконується безпосередньо в пам’яті. Це значно ускладнює виявлення навіть для сучасних EDR‑рішень.
Після з’єднання з C2‑сервером DCRAT передає операторам детальну інформацію про систему та очікує команди: віддалений доступ до робочого столу, кейлогінг, реверс‑шелли, запуск додаткових пейлоадів у пам’яті. У дослідженому випадку зловмисники додатково розгортали на інфікованих машинах криптомайнер, перетворюючи інфраструктуру готелю на джерело обчислювальних ресурсів для власної вигоди.
Кіберризики для готелів і практичні кроки захисту
Після закріплення на робочій станції зловмисники можуть використовувати її як точку входу для горизонтального переміщення мережею: атакувати системи керування бронюваннями, POS‑термінали, бухгалтерські системи та партнерські інтеграції. Це створює ризики витоку персональних даних гостей, компрометації облікових записів партнерів та зупинки критичних бізнес-процесів.
Для готельного бізнесу, який активно покладається на зовнішні онлайн‑платформи (Booking.com, OTA‑агрегатори, платіжні шлюзи), подібні фішингові сценарії з елементами ClickFix особливо небезпечні: вони експлуатують одночасно і довіру до бренду, і операційну завантаженість персоналу.
Зменшити ризики допомагає багаторівневий підхід до кібербезпеки:
- Навчання персоналу розпізнаванню фішингу, підроблених доменів і «антикризових інструкцій» на кшталт фальшивих BSOD.
- Обмеження прав на запуск PowerShell та інших адміністративних інструментів для некритичних ролей.
- Впровадження EDR із поведінковим аналізом для виявлення аномальних дій MSBuild, BITS і незвичних мережевих з’єднань.
- Жорсткий контроль виключень у Windows Defender і регулярний аудит політик безпеки.
- Періодичні тренування з соціальної інженерії та відпрацювання інцидентів за участю служби безпеки та ІТ.
ClickFix-кампанія PHALT#BLYX демонструє, що сучасним зловмисникам нерідко достатньо не зламати систему, а переконати користувача «полагодити її не тим способом». Чим раніше готелі інвестують у підготовку персоналу, впровадження EDR та обмеження використання PowerShell, тим менша ймовірність, що їхні робочі станції опиняться частиною чужого ботнету або каналом для витоку даних гостей.
