Хакеры атакуют отели в Европе через поддельные экраны BSOD Windows

Исследователи компании Securonix обнаружили новую кампанию социальной инженерии ClickFix, которая нацелена на индустрию гостеприимства в Европе. Злоумышленники используют поддельные экраны BSOD Windows для распространения вредоносного ПО. Кампанию впервые заметил аналитик вредоносного ПО JAMESWT_WT в декабре. Специалисты Securonix присвоили ей название PHALT#BLYX.

Атака начинается с фишингового письма, которое имитирует сообщение от Booking[.]com об отмене бронирования. Письма отправляются сотрудникам гостиниц и отелей. В сообщении указывается крупная сумма возврата, чтобы создать у получателя ощущение срочности. Когда жертва переходит по ссылке из письма, она попадает на поддельный сайт Booking[.]com, размещённый на домене low‑house[.]com.

Исследователи из Securonix отмечают, что сайт представляет собой точную копию настоящего ресурса по бронированию жилья. Страница использует официальный брендинг Booking[.]com, включая логотипы, цветовую палитру и стили шрифтов. Для неподготовленного пользователя она выглядит как настоящий сайт. На странице размещён вредоносный JavaScript‑код, который выводит сообщение об ошибке загрузки. Пользователю предлагается нажать кнопку для обновления страницы.

После нажатия кнопки браузер переходит в полноэкранный режим и отображает поддельный экран ВSOD Windows. На экране появляются инструкции, которые предлагают открыть диалоговое окно «Выполнить» и нажать сочетание клавиш CTRL+V. Эта команда вставляет вредоносный код, который злоумышленники заранее скопировали в буфер обмена. Затем пользователя просят нажать кнопку OK или клавишу Enter для выполнения команды.

Настоящие экраны BSOD Windows не содержат инструкций по восстановлению системы. показывают только код ошибки и уведомление