Исследователи Securonix зафиксировали сложную ClickFix-кампанию PHALT#BLYX, нацеленную на гостиничный сектор Европы. Злоумышленники маскируются под Booking.com и используют правдоподобную имитацию «синего экрана смерти» (BSOD) прямо в браузере, чтобы убедить сотрудников отелей самостоятельно выполнить вредоносные команды PowerShell и установить троян удаленного доступа DCRAT.
ClickFix: социальная инженерия вместо эксплойтов
ClickFix-атаки опираются не на уязвимости программ, а на манипулирование пользователем. Жертву пошагово подводят к тому, чтобы она сама скопировала и выполнила команду, обычно через PowerShell или терминал. Такой подход затрудняет детектирование: действия инициирует легитимный пользователь, а не неизвестный процесс.
По данным отраслевых отчетов по кибербезопасности, социальная инженерия остается одним из самых результативных векторов атак против корпоративных сетей. ClickFix вписывается в эту тенденцию, комбинируя фишинг, поддельные веб‑страницы и психологическое давление на пользователя.
Фишинг под Booking.com и мотивирующий фактор «возврата средств»
Начальный этап кампании PHALT#BLYX — фишинговое письмо, стилизованное под уведомление Booking.com об отмене бронирования. В теле письма указывается значительная сумма возврата — свыше 1000 евро, что повышает вероятность того, что сотрудник отеля захочет проверить детали операции.
Переход по ссылке в письме ведет на домен low-house[.]com, где размещена качественная подделка сайта Booking.com: используются фирменная цветовая схема, логотипы и схожая верстка. Такие фишинговые сайты нередко проходят первичную проверку невнимательными сотрудниками, особенно при высокой загрузке фронт-офиса.
Имитация BSOD в браузере: как жертву заставляют запустить PowerShell
На поддельной странице выполняется вредоносный JavaScript. Сначала пользователю показывается сообщение «Loading is taking too long» и кнопка «обновить» или продолжить загрузку. После нажатия браузер разворачивается на весь экран, а содержимое подменяется на реалистичную копию окна BSOD Windows.
В отличие от настоящего «синего экрана», эта подделка содержит подробные «инструкции по восстановлению»: пользователю предлагается открыть окно «Выполнить», нажать Ctrl+V (команда уже заранее помещена в буфер обмена скриптом на странице) и подтвердить запуск. Неопытные сотрудники могут воспринять эти указания как стандартную процедуру устранения ошибки.
Техническая цепочка заражения: от MSBuild до DCRAT
Загрузка и сборка .NET-проекта через легитимные инструменты
После запуска команды PowerShell из буфера обмена на экране появляется фальшивая административная панель Booking.com, призванная отвлечь пользователя. Параллельно скрипт подгружает .NET-проект v.proj и компилирует его с помощью легитимного системного инструмента MSBuild.exe. Использование штатных компонентов Windows снижает подозрительность и усложняет сигнатурный анализ.
Отключение защиты, закрепление и загрузка основного пейлоада
Получив контроль, вредонос добавляет исключения в Windows Defender, запрашивает привилегии администратора через UAC и с помощью службы BITS (Background Intelligent Transfer Service) загружает основной загрузчик. Для закрепления в системе используется .url-файл в папке автозагрузки, что обеспечивает перезапуск малвари при каждом входе пользователя в систему.
DCRAT и скрытое выполнение через process hollowing
Финальная полезная нагрузка — DCRAT (форк AsyncRAT), широко используемый в криминальных ботнетах. Он внедряется в легитимный процесс aspnet_compiler.exe методом process hollowing: содержимое процесса подменяется вредоносным кодом, исполняющимся напрямую в памяти. Такой подход осложняет обнаружение средствами EDR и антивирусами.
После первого подключения к управляющему серверу DCRAT отправляет операторам подробную информацию о системе и ожидает команд. Функциональность включает удаленный доступ к рабочему столу, кейлоггинг, реверс‑шеллы и запуск дополнительных пейлоадов в памяти. В проанализированном инциденте Securonix злоумышленники дополнительно установили на зараженную машину криптовалютный майнер.
Риски для отелей: от утечки данных до продвижения ботнета
Закрепившись на рабочей станции, злоумышленники могут использовать ее как точку опоры для горизонтального перемещения по сети: атаковать другие устройства, системы управления бронированиями и платежные сервисы. Это повышает риск кражи персональных данных гостей, компрометации учетных записей партнеров и нарушения операционной деятельности отеля.
По оценкам специалистов, кастомизированная версия DCRAT в рамках PHALT#BLYX характеризуется высокой живучестью: рандомизируются точки подключения, а в качестве посредников для команд и контроля могут использоваться публичные площадки наподобие Pastebin. Такая архитектура ботнета усложняет его блокировку даже при частичном выводе из строя управляющей инфраструктуры.
Для гостиничной отрасли, где активно используются сторонние онлайн‑площадки (Booking.com, OTA‑агрегаторы, платежные шлюзы), подобные фишинговые сценарии особенно опасны: злоумышленники эксплуатируют доверие к привычным брендам и непрерывную загрузку персонала.
Организациям индустрии гостеприимства критично выстраивать многоуровневую защиту: обучать сотрудников распознаванию фишинга, ограничивать права пользователей на запуск PowerShell, применять EDR‑решения с поведенческим анализом и строго контролировать исключения в системах защиты. Регулярные тренировки по социальной инженерии и отработка инцидентов позволяют заметно снизить эффективность кампаний, подобных PHALT#BLYX, и не дать отелю стать частью чужого ботнета.
