کارزار مخرب ClickFix با سوءاستفاده از صفحه آبی مرگ

پژوهشگران امنیتی از شناسایی یک کمپین مهندسی اجتماعی پیشرفته با نام ClickFix خبر داده‌اند که با استفاده از صفحه آبی مرگ (BSOD) جعلی Windows، کاربران را به اجرای دستی بدافزار وادار می‌کند. این حمله که نخستین بار در دسامبر ۲۰۲۵ مشاهده شده، به‌طور خاص سازمان‌های فعال در صنعت هتلداری را هدف قرار داده است.

طبق گزارش شرکت امنیتی سکیورانیکس (Securonix)، این کمپین با ایمیل‌های فیشینگ با جعل Booking.com آغاز می‌شود. مهاجمان با ارسال پیام‌هایی مبنی بر لغو رزرو هتل و درخواست بازپرداخت مبالغ قابل توجه، تلاش می‌کنند حس فوریت و فشار روانی را در قربانی ایجاد کنند.

پس از کلیک روی لینک موجود در ایمیل، قربانی به یک وب‌سایت جعلی منتقل می‌شود که از نظر ظاهری، یک کپی بسیار دقیق (High-Fidelity Clone) از وب‌سایت Booking.com است. این صفحه با استفاده از کدهای JavaScript مخرب، ابتدا پیام خطای “کندی بارگذاری” را نمایش داده و سپس مرورگر را وارد حالت تمام‌صفحه می‌کند.

در مرحله بعد، یک صفحه BSOD جعلی به کاربر نمایش داده می‌شود که او را راهنمایی می‌کند تا با باز کردن پنجره Run در Windows و اجرای یک دستور از پیش کپی‌شده در Clipboard، مشکل را “برطرف” کند. این تکنیک، هسته اصلی حملات ClickFix محسوب می‌شود و با تکیه بر رفتار انسانی و نه نقص فنی، موفق به آلوده‌سازی سیستم می‌شود.

اجرای دستور منجر به موارد زیر می‌شود:

   – دانلود یک پروژه مخرب DotNet

   – کامپایل بدافزار با استفاده از ابزار معتبر MSBuild.exe

   – افزودن استثنا به Windows Defender

   – دور زدن کنترل دسترسی کاربر (UAC)

   – ایجاد ماندگاری (Persistence) از طریق پوشه Startup

در نهایت، بدافزار DCRAT به‌عنوان یک Remote Access Trojan – RAT اجرا می‌شود. این بدافزار با تزریق کد به پروسه معتبر aspnet_compiler.exe و اجرای در حافظه، شناسایی را برای راهکارهای امنیتی دشوارتر می‌کند.

پس از اتصال به سرور فرماندهی و کنترل (C2)، بدافزار اطلاعات کامل سیستم قربانی را ارسال کرده و منتظر دریافت دستورات می‌ماند. قابلیت‌های مشاهده‌شده شامل:

   – کنترل از راه دور

   – ثبت کلیدهای فشرده‌شده (Keylogging)

   – اجرای دستورات شِل و بارگذاری بدافزارهای ثانویه

   – استقرار استخراج‌کننده ارز دیجیتال

به گفته پژوهشگران، این سطح از دسترسی به مهاجمان امکان حرکت جانبی در شبکه (Lateral Movement)، سرقت داده‌ها و حتی ایجاد اختلال گسترده در زیرساخت‌های سازمانی را می‌دهد.

این کمپین بار دیگر نشان می‌دهد که مهاجمان به‌جای بهره‌برداری از آسیب‌پذیری‌های نرم‌افزاری، به‌طور فزاینده‌ای از مهندسی اجتماعی مبتنی بر سناریوهای آشنا استفاده می‌کنند. استفاده از صفحه آبی مرگ جعلی، نمونه‌ای بارز از سوءاستفاده از اعتماد کاربران به پیام‌های سیستمی است.

توصیه می‌شود سازمان‌ها، به‌ویژه در حوزه هتلداری:

   – اجرای دستورات از منابع ایمیلی یا وبی را به‌طور کامل ممنوع کنند؛

   – آموزش‌های آگاهی امنیتی را برای کارکنان غیر فنی تقویت نمایند؛

   – دسترسی کاربران به ابزارهای سیستمی مانند PowerShell را محدود کنند.

مشروح گزارش سکیورانیکس از طریق لینک زیر قابل‌مطالعه است:

https://www.securonix.com/blog/analyzing-phaltblyx-how-fake-bsods-and-trusted-build-tools-are-used-to-construct-a-malware-infection