Een nieuwe ClickFix-aanvalscampagne richt zich specifiek op de Europese hospitalitysector en maakt gebruik van vervalste Windows Blue Screen of Death-schermen (BSOD) om malware te verspreiden. De aanval combineert geraffineerde phishing met sociale manipulatie en speelt in op tijdsdruk en stress bij hotelmedewerkers.
BSOD-schermen
Een Blue Screen of Death, kortweg BSOD, is normaal gesproken een echte foutmelding van Windows die verschijnt wanneer het besturingssysteem een fatale fout tegenkomt en moet stoppen. In deze campagne wordt dat vertrouwde beeld echter misbruikt als overtuigend lokmiddel.
Phishingmails
De aanval werd voor het eerst waargenomen in december en wordt door onderzoekers van Securonix gevolgd onder de naam ‘PHALT#BLYX’. Slachtoffers ontvangen phishingmails die zich voordoen als berichten van Booking.com. In de e-mails lijkt een hotelgast een reservering te annuleren, met een opvallend hoog restitutiebedrag. Dat bedrag is bewust gekozen om urgentie en paniek te veroorzaken bij de ontvanger.
Nepwebsite
Wie op de link in de e-mail klikt, komt terecht op een nepwebsite die sterk lijkt op de echte Booking.com-omgeving. Volgens Securonix gaat het om een vrijwel perfecte kopie, met correcte huisstijl, logo’s en lettertypes, waardoor de site voor veel gebruikers nauwelijks van echt te onderscheiden is. Op de pagina verschijnt een melding dat het laden te lang duurt, met een knop om te verversen.
Na het klikken op die knop schakelt de browser ongemerkt over naar volledig scherm en verschijnt een valse Windows BSOD. Dit scherm start de ClickFix-social engineering aanval. De gebruiker krijgt instructies om het Windows ‘Uitvoeren’-venster te openen en daar met CTRL+V een commando te plakken dat al door de website op het klembord is gezet. Vervolgens wordt gevraagd op OK of Enter te drukken.
Geen herstelinstructies
Echte BSOD-schermen geven nooit herstelinstructies, maar tonen alleen een foutcode en een herstartmelding. Toch trappen vooral minder technisch onderlegde medewerkers hierin, zeker wanneer zij onder druk staan om een vermeend klantprobleem snel op te lossen.
Het geplakte commando start een PowerShell-proces dat ogenschijnlijk een Booking.com-beheerpagina opent, maar op de achtergrond malware downloadt en compileert met legitieme Windows-hulpmiddelen. De uiteindelijke malware is een zogeheten remote access Trojan, waarmee aanvallers volledige controle krijgen over het systeem.
Malware
Eenmaal actief kan de malware toetsaanslagen registreren, het scherm op afstand overnemen, extra kwaadaardige software laden en zich verder verspreiden binnen het netwerk. In het onderzochte geval installeerden de aanvallers zelfs een cryptominer. Met deze voet tussen de deur lopen hotels risico op datadiefstal, netwerkcompromittering en langdurige beveiligingsincidenten.
Deze campagne laat zien hoe overtuigend moderne phishing en social engineering zijn geworden, en hoe belangrijk het is dat organisaties hun personeel blijven trainen in het herkennen van digitale misleiding.