Een nieuwe ClickFix social engineering-campagne richt zich op de Europese horecasector. Deze campagne gebruikt valse Windows Blue Screen of Death (BSOD) schermen om gebruikers te verleiden tot het handmatig compileren en uitvoeren van malware.

Een BSOD is een crash-scherm dat verschijnt wanneer Windows een ernstige fout tegenkomt.

In december ontdekten onderzoekers van Securonix een campagne genaamd “PHALT#BLYX.” Hierbij werden phishing-e-mails, zogenaamd afkomstig van Booking.com, gebruikt om malware te verspreiden.

### ClickFix-aanval doet zich voor als BSOD-crashes

ClickFix-aanvallen zijn webpagina’s die een probleem tonen en vervolgens oplossingen bieden. Deze kunnen bestaan uit valse foutmeldingen of veiligheidswaarschuwingen die gebruikers aanmoedigen een command op hun computer uit te voeren.

Slachtoffers infecteren hun eigen systemen door deze schadelijke commando’s uit te voeren.

In de recente ClickFix-campagne sturen aanvallers phishing-mails die zich voordoen als een hotelgast die zijn Booking.com-reservering annuleert. Het indrukwekkende restitutiebedrag creëert urgentie bij de ontvanger.

Na het klikken op de link in de e-mail belandt het slachtoffer op een valse Booking.com-website, gehost op ‘low-house[.]com’. Deze site lijkt sterk op de echte Booking.com, compleet met de juiste kleuren, logo’s en lettertype.

De site bevat schadelijke JavaScript-code die een valse foutmelding toont met de boodschap dat het laden te lang duurt, en spoort de gebruiker aan om de pagina te verversen.

Bij het drukken op de knop verschijnt echter een nep BSOD-crashscherm. Dit initieert de ClickFix-aanval waarbij de gebruiker gevraagd wordt een commando te plakken en uit te voeren.

Door het ingevoerde PowerShell-commando wordt een misleidende pagina geopend, terwijl op de achtergrond een kwaadaardig .NET-project wordt gedownload en gecompileerd.

Het uitgevoerde proces voegt uitsluitingen toe aan Windows Defender en vraagt om beheerdersrechten, waarna de primaire loader via de Background Intelligent Transfer Service (BITS) wordt gedownload en een bestand in de opstartmap wordt geplaatst.

De malware (staxs.exe) is DCRAT, een trojaan voor externe toegang, die de aspirant_proc.exe gebruikt voor procesinjectie.

Bij contact met de command-and-control (C2) server verzendt de malware zijn systeeminformatie en wacht op verdere instructies. De mogelijkheden zijn onder meer een remote desktop, keylogging, en het uitvoeren van extra payloads. De waargenomen aanval liet een cryptominer achter.

Met verkregen toegang kunnen aanvallers zich verder verspreiden in het netwerk, gegevens stelen en andere systemen in gevaar brengen.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.