ClickFix z fałszywym BSOD: jak kampania na Booking.com zmusza ofiary do uruchomienia malware (PHALT#BLYX / DCRat)

Wprowadzenie do problemu / definicja luki

ClickFix to nie „luka” w sensie CVE, tylko wzorzec socjotechniczny: atakujący wyświetla ofierze wiarygodnie wyglądającą usterkę (np. błąd przeglądarki, CAPTCHA, „aktualizację”, a choćby ekran awarii), po czym prowadzi ją krok po kroku do samodzielnego uruchomienia polecenia (PowerShell/Terminal/Run). najważniejszy trik polega na tym, iż to użytkownik staje się „launcherem” – omijając część automatycznych barier bezpieczeństwa.

Na początku stycznia 2026 r. opisano świeżą odsłonę tej techniki: kampanię wymierzoną w sektor hotelarski w Europie, gdzie przynętą jest fałszywa wiadomość o anulowaniu rezerwacji Booking.com, a elementem „wow” – fałszywy BSOD (Blue Screen of Death) odpalany w przeglądarce.

W skrócie

• Cel: firmy z branży hospitality w Europie; przynęta „anulowanie rezerwacji” z kwotą zwrotu, która buduje presję czasu.
• Mechanika: link z phishingu → klon Booking.com → fałszywy błąd/„CAPTCHA” → przejście w fullscreen → fałszywy BSOD → instrukcja Win+R i wklejenie komendy → uruchomienie łańcucha infekcji.
• Technika „living off the land”: wykorzystanie legalnego MSBuild.exe do kompilacji/uruchomienia payloadu z pliku projektu .proj.
• Payload: zmodyfikowany DCRat (RAT) + możliwości dalszego doładowania (w obserwacji: m.in. miner).

Kontekst / historia / powiązania

ClickFix został szerzej opisany jako rosnący trend od 2024 r. – pojawia się w kampaniach wykorzystujących phishing, malvertising i skompromitowane strony. Często kończy się infekcjami typu infostealer (np. Lumma) lub RAT/loaderami, a sam „fix” wymaga od użytkownika kopiowania-wklejania i uruchamiania poleceń.

W obserwacjach Microsoftu powtarza się też motyw wstrzykiwania/uruchamiania ładunków w pamięci oraz nadużywania narzędzi systemowych (LOLBins) – w tym m.in. msbuild.exe czy powershell.exe – co utrudnia detekcję opartą o klasyczne sygnatury plików.

Opisywana kampania (PHALT#BLYX) wpisuje się w ten trend, ale wyróżnia się „opakowaniem” (BSOD) oraz dopasowaniem do specyficznego kontekstu biznesowego (hotelarstwo + sezonowość + presja rozliczeń).

Analiza techniczna / szczegóły ataku

1) Wejście: phishing „Booking.com – anulowanie rezerwacji”

Atak startuje od e-maila podszywającego się pod informację o anulowaniu rezerwacji. Element psychologiczny jest prosty: „gość anuluje, jest zwrot (często znaczący), trzeba działać szybko”.

2) Klon serwisu i przynęta w przeglądarce

Kliknięcie prowadzi na stronę-klona Booking.com (w opisie wskazano m.in. domenę low-house[.]com), przygotowaną jako „high-fidelity clone” z odpowiednim brandingiem. Strona wyświetla błąd w stylu „Loading is taking too long” i zachęca do kliknięcia przycisku odświeżenia.

3) Fałszywy BSOD w trybie fullscreen = adekwatny ClickFix

Po kliknięciu przycisku strona przechodzi w fullscreen i wyświetla fałszywy ekran BSOD. Następnie ofiara dostaje instrukcję:

• otwórz Uruchom (Win+R),
• wciśnij CTRL+V (w schowku jest już przygotowana komenda),
• zatwierdź (Enter/OK).

To istotny szczegół: atakujący przenosi „punkt wykonania” na czynność użytkownika, co (w zależności od środowiska) może ominąć część kontroli, które lepiej działają na automatyczne pobrania/uruchomienia.

4) PowerShell + projekt MSBuild (v.proj) i kompilacja „na żywo”

W tej kampanii wklejone polecenie uruchamia PowerShell, który (równolegle do odwracania uwagi „wabikiem” w postaci strony administracyjnej) pobiera plik projektu .NET (v.proj) i wykorzystuje legalny MSBuild.exe do kompilacji oraz uruchomienia osadzonego payloadu.

Securonix podkreśla, iż to ewolucja: wcześniejsze próbki powiązane z tym aktorem wykorzystywały prostsze łańcuchy oparte o .hta/mshta.exe, a przejście na MSBuild ma charakter „living off the land” (większa odporność na proste detekcje).

5) Eskalacja, persistencja i obrona przed obroną

W opisie kampanii pojawiają się m.in.:

• dodawanie wyjątków w Windows Defender,
• próby uzyskania uprawnień admina (UAC),
• pobranie kolejnych komponentów przez BITS (Background Intelligent Transfer Service),
• persistencja przez plik .url w folderze Startup.

6) Payload: DCRat + „hands-on-keyboard”

Końcowy ładunek to DCRat (zdalny dostęp), uruchamiany z technikami typu process hollowing oraz wstrzykiwaniem do procesu aspnet_compiler.exe (wskazywane jako wykonanie w pamięci). DCRat zapewnia m.in. zdalny pulpit, keylogger, reverse shell i możliwość doładowania kolejnych payloadów (w obserwowanym przypadku dołożono koparkę kryptowalut).

Praktyczne konsekwencje / ryzyko

Dla organizacji (szczególnie hotelarstwa) ryzyko nie kończy się na jednym zainfekowanym komputerze recepcji:

• Kompromitacja kont i danych: keylogging + zdalny dostęp to prosta droga do kradzieży poświadczeń (poczta, PMS/CRM, systemy płatności, panele OTA).
• Rozprzestrzenianie w sieci: RAT umożliwia rozpoznanie środowiska i ruch lateralny (zwłaszcza jeżeli segmentacja jest słaba).
• Dalsze payloady: miner jest „widoczny”, ale te same możliwości często służą do wdrożeń bardziej destrukcyjnych (np. kolejne narzędzia post-exploitation).
• Koszty operacyjne i reputacyjne: incydent w okresie wysokiego obłożenia oznacza chaos operacyjny, ryzyko wycieku danych gości oraz potencjalne konsekwencje regulacyjne.

Rekomendacje operacyjne / co zrobić teraz

Szybkie działania (24–72h)

• Komunikat do pracowników: „Windows/Booking.com nigdy nie wymagają wklejania poleceń do Win+R/PowerShell. BSOD nie daje instrukcji naprawy w przeglądarce.” (to konkretnie adresuje mechanikę ataku).
• Wzmocnij filtrację poczty: reguły na tematykę anulowania rezerwacji/zwrotów i linków do domen podobnych do Booking.com; izolacja linków (URL rewriting / sandbox).
• Polityki ograniczające “Run” tam, gdzie nie jest potrzebne: Microsoft wprost wskazuje, iż redukcja użycia okna Uruchom (Win+R) w rolach, które go nie wymagają, może ograniczać skuteczność ClickFix.

Twardnienie endpointów

• Ogranicz/monitoruj LOLBins: msbuild.exe, powershell.exe, (często także inne narzędzia „systemowe” nadużywane w ClickFix). Microsoft opisuje msbuild.exe jako jeden z procesów, w które bywa wstrzykiwany kod w kampaniach ClickFix.
• PowerShell logging: włącz Script Block Logging (4104), Module Logging oraz Process Creation (4688) i koreluj z wywołaniami Win+R / nietypowymi parametrami. (To praktyczny fundament do polowań na ClickFix, bo „fix” prawie zawsze zostawia ślad w telemetrii procesu).
• Kontrola Defender exclusions + BITS: alerty na dodawanie wyjątków, nietypowe joby BITS inicjowane z kontekstu PowerShell oraz tworzenie plików .url w Startup.

Monitoring / hunting

Unit 42 zwraca uwagę, iż skuteczne podejście to połączenie edukacji użytkowników z polowaniem w EDR/Windows Event Logs na charakterystyczne wzorce ClickFix. W praktyce: szukaj sekwencji „przeglądarka → Win+R → PowerShell → msbuild → połączenia wychodzące”. (

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• „Fałszywy BSOD” vs „fałszywa aktualizacja / CAPTCHA”: ClickFix często udaje drobne problemy (CAPTCHA, błąd strony, update). W tej kampanii BSOD ma zwiększyć autorytet komunikatu i poczucie awarii krytycznej.
• MSBuild jako etap kompilacji: wiele kampanii ClickFix kończy się prostszym pobraniem i uruchomieniem komponentu; PHALT#BLYX idzie w stronę „build chain” (projekt .proj + MSBuild.exe), co jest spójne z trendem nadużywania LOLBins do uruchamiania ładunków w pamięci.
• DCRat jako payload: Microsoft wskazuje, iż ClickFix jest używany do dystrybucji zarówno infostealerów, jak i RAT-ów (oraz loaderów). Ten przypadek to klasyczny RAT z potencjałem dalszej eskalacji w sieci ofiary.

Podsumowanie / najważniejsze wnioski

• ClickFix działa, bo przerzuca odpowiedzialność za uruchomienie malware na użytkownika – a to bywa trudniejsze do zatrzymania samą automatyką.
• Kampania PHALT#BLYX (grudzień 2025 / opis 5 stycznia 2026) pokazuje, iż atakujący potrafią łączyć wysokiej jakości phishing + realistyczny klon serwisu + teatralny BSOD z technikami „living off the land” (MSBuild).
• Najbardziej opłacalna obrona to miks: edukacja (zakaz wklejania komend), ograniczenie Win+R tam gdzie zbędne, twardnienie i monitoring PowerShell/MSBuild/BITS/Startup.

Źródła / bibliografia

1. BleepingComputer – ClickFix attack uses fake Windows BSOD screens to push malware (5 stycznia 2026) (BleepingComputer)
2. Securonix – Analyzing PHALT#BLYX: Fake BSODs and Trusted Build Tools… (Securonix)
3. Microsoft Security Blog – Think before you Click(Fix): Analyzing the ClickFix social engineering technique (21 sierpnia 2025) (Microsoft)
4. Palo Alto Networks Unit 42 – Fix the Click: Preventing the ClickFix Attack Vector (10 lipca 2025) (Unit 42)
5. HHS HC3 (TLP:CLEAR) – ClickFix Attacks – Sector Alert (29 października 2024) (HHS)