پژوهشگران امنیتی از شناسایی یک کمپین مهندسی اجتماعی پیشرفته با نام ClickFix خبر دادهاند که با استفاده از صفحه آبی مرگ (BSOD) جعلی Windows، کاربران را به اجرای دستی بدافزار وادار میکند. این حمله که نخستین بار در دسامبر ۲۰۲۵ مشاهده شده، بهطور خاص سازمانهای فعال در صنعت هتلداری را هدف قرار داده است.
طبق گزارش شرکت امنیتی سکیورانیکس (Securonix)، این کمپین با ایمیلهای فیشینگ با جعل Booking.com آغاز میشود. مهاجمان با ارسال پیامهایی مبنی بر لغو رزرو هتل و درخواست بازپرداخت مبالغ قابل توجه، تلاش میکنند حس فوریت و فشار روانی را در قربانی ایجاد کنند.
پس از کلیک روی لینک موجود در ایمیل، قربانی به یک وبسایت جعلی منتقل میشود که از نظر ظاهری، یک کپی بسیار دقیق (High-Fidelity Clone) از وبسایت Booking.com است. این صفحه با استفاده از کدهای JavaScript مخرب، ابتدا پیام خطای “کندی بارگذاری” را نمایش داده و سپس مرورگر را وارد حالت تمامصفحه میکند.
در مرحله بعد، یک صفحه BSOD جعلی به کاربر نمایش داده میشود که او را راهنمایی میکند تا با باز کردن پنجره Run در Windows و اجرای یک دستور از پیش کپیشده در Clipboard، مشکل را “برطرف” کند. این تکنیک، هسته اصلی حملات ClickFix محسوب میشود و با تکیه بر رفتار انسانی و نه نقص فنی، موفق به آلودهسازی سیستم میشود.
اجرای دستور منجر به موارد زیر میشود:
– دانلود یک پروژه مخرب DotNet
– کامپایل بدافزار با استفاده از ابزار معتبر MSBuild.exe
– افزودن استثنا به Windows Defender
– دور زدن کنترل دسترسی کاربر (UAC)
– ایجاد ماندگاری (Persistence) از طریق پوشه Startup
در نهایت، بدافزار DCRAT بهعنوان یک Remote Access Trojan – RAT اجرا میشود. این بدافزار با تزریق کد به پروسه معتبر aspnet_compiler.exe و اجرای در حافظه، شناسایی را برای راهکارهای امنیتی دشوارتر میکند.
پس از اتصال به سرور فرماندهی و کنترل (C2)، بدافزار اطلاعات کامل سیستم قربانی را ارسال کرده و منتظر دریافت دستورات میماند. قابلیتهای مشاهدهشده شامل:
– کنترل از راه دور
– ثبت کلیدهای فشردهشده (Keylogging)
– اجرای دستورات شِل و بارگذاری بدافزارهای ثانویه
– استقرار استخراجکننده ارز دیجیتال
به گفته پژوهشگران، این سطح از دسترسی به مهاجمان امکان حرکت جانبی در شبکه (Lateral Movement)، سرقت دادهها و حتی ایجاد اختلال گسترده در زیرساختهای سازمانی را میدهد.
این کمپین بار دیگر نشان میدهد که مهاجمان بهجای بهرهبرداری از آسیبپذیریهای نرمافزاری، بهطور فزایندهای از مهندسی اجتماعی مبتنی بر سناریوهای آشنا استفاده میکنند. استفاده از صفحه آبی مرگ جعلی، نمونهای بارز از سوءاستفاده از اعتماد کاربران به پیامهای سیستمی است.
توصیه میشود سازمانها، بهویژه در حوزه هتلداری:
– اجرای دستورات از منابع ایمیلی یا وبی را بهطور کامل ممنوع کنند؛
– آموزشهای آگاهی امنیتی را برای کارکنان غیر فنی تقویت نمایند؛
– دسترسی کاربران به ابزارهای سیستمی مانند PowerShell را محدود کنند.
مشروح گزارش سکیورانیکس از طریق لینک زیر قابلمطالعه است: