【安全资讯】新型ClickFix攻击利用伪造Windows蓝屏在欧洲酒店业传播恶意软件

概要：

网络安全研究人员近期发现一种针对欧洲酒店业的新型社会工程攻击活动。攻击者通过伪造Booking.com的钓鱼邮件，诱骗用户访问高仿网站，并利用伪造的Windows蓝屏死机（BSOD）界面，诱导受害者手动执行恶意命令，最终在目标系统上部署远程访问木马（RAT）和加密货币挖矿程序。这种被称为“ClickFix”的攻击手法利用用户对系统故障的恐慌心理，成功绕过了传统安全防护。

主要内容：

此次攻击始于一封伪装成酒店客人取消Booking.com预订的钓鱼邮件，邮件中提及的高额退款旨在制造紧迫感。收件人点击链接后，会被引导至一个高度仿真的Booking.com克隆网站（low-house[.]com）。该网站通过恶意JavaScript代码，首先显示“加载时间过长”的假错误信息，诱使用户点击刷新按钮。

点击后，浏览器会进入全屏模式，并展示一个伪造的Windows蓝屏死机（BSOD）画面。与真实的BSOD不同，该假界面提供了“修复”指令，要求用户打开Windows“运行”对话框，粘贴并执行一段恶意PowerShell命令。缺乏经验的用户或急于处理“客诉”的酒店员工极易中招。

执行的命令会在后台下载一个恶意的.NET项目文件（v.proj），并利用系统自带的合法编译器MSBuild.exe进行编译。恶意软件首先会添加Windows Defender排除项并尝试获取管理员权限，然后通过后台智能传输服务（BITS）下载主加载器，并在启动文件夹中创建持久化机制。

最终植入的恶意软件是DCRAT远程访问木马，它通过进程镂空技术注入到合法的aspnet_compiler.exe进程中执行。该木马具备远程桌面、键盘记录、反向Shell等多种功能，能完全控制受感染设备。在此次观察到的案例中，攻击者还部署了加密货币挖矿程序。一旦得手，攻击者便能在目标网络内建立据点，进行横向移动和数据窃取。