Nemrég egy egészen rafinált csalási hullám ütötte fel a fejét Európában, amely a vendéglátóipari cégeket vette célba. A trükk? Egy hamis Windows Blue Screen of Death (BSOD), vagyis a rettegett kék halálképernyő imitálása, amivel az áldozatokat ráveszik, hogy saját maguk telepítsenek rosszindulatú szoftvert a gépükre. Ha eddig azt hitted, hogy a BSOD csak egy ijesztő rendszerhiba, amitől csak újraindítod a gépet, akkor készülj fel: ez a támadás pont ezt használja ki.
Mi az a ClickFix támadás és hogyan működik?
A ClickFix egy olyan szociális mérnöki módszer, amely hamis hibajelzésekkel és riasztásokkal próbálja becsapni az embereket. Ezek az oldalak úgy jelenítenek meg problémákat – legyen az hibakód, biztonsági figyelmeztetés vagy CAPTCHA –, hogy aztán „megoldási” javaslatokat kínálnak. A csapda lényege, hogy az áldozat maga futtat egy parancsot a gépén, ami valójában malware-t telepít.
Az új kampányban, amit decemberben fedeztek fel és a Securonix kutatói “PHALT#BLYX” néven követnek nyomon, egy Booking.com nevében érkező adathalász e-mail vezeti be az áldozatot ebbe a csapdába. A levél arról szól, hogy egy vendég lemondta foglalását, és jelentős visszatérítést ígérnek – ez pedig elég ahhoz, hogy sokan kapkodva cselekedjenek.
Hamis Booking.com értesítés – a csalás első lépése
Az e-mailben található link egy „low-house[.]com” nevű oldalra viszi az áldozatot, ami egy döbbenetesen élethű másolata a Booking.com-nak. A színek, logók és betűtípusok tökéletesen megegyeznek az eredetivel – szóval ha nem vagy éber, simán bedőlhetsz neki.
Az oldalon egy JavaScript futtatása után először egy „Betöltés túl hosszú ideig tart” hibaüzenet ugrik fel, ami arra ösztönzi a látogatót, hogy frissítse az oldalt. Ez még nem gyanús? Pedig itt kezdődik csak igazán a trükk.
A hamis BSOD – amikor a böngésződ kék halállá változik
Ha rákattintasz a frissítés gombra, a böngésző teljes képernyős módba vált, és megjelenik egy hamis Windows BSOD képernyő. Ez pont úgy néz ki, mint az igazi: kék háttér fehér szöveggel és hibaüzenettel. Csakhogy itt nem csak ijesztgetnek – utasításokat is adnak arra vonatkozóan, hogyan kell megoldani a problémát.
A felhasználót arra kérik, hogy nyissa meg a Windows Futtatás ablakot (Win+R), majd nyomja meg a CTRL+V kombinációt – ezzel beilleszti a vágólapra másolt parancsot –, végül pedig nyomjon Entert vagy OK-t. Ez a parancs pedig nem más, mint egy PowerShell parancs, ami elindítja a malware telepítését.
Mi történik valójában a háttérben?
Egy igazi BSOD sosem kínál megoldási lépéseket vagy parancsok futtatását – csak hibaüzenetet és újraindítási javaslatot ad. De aki nincs otthon ezekben vagy épp stresszes helyzetben van (például egy hotel recepcióján dolgozik), könnyen bedőlhet ennek az átverésnek.
A beillesztett parancs elindít egy PowerShell folyamatot, ami megnyit egy ál Booking.com adminisztrációs oldalt – hogy még hihetőbb legyen az egész –, miközben letölt és lefordít egy rosszindulatú .NET projektet (v.proj) az MSBuild.exe segítségével. Ezután hozzáadja magát a Windows Defender kizárások közé és adminisztrátori jogosultságokat kér UAC promptokon keresztül.
A végső cél egy távoli hozzáférést biztosító trójai (DCRAT) telepítése staxs.exe néven. Ez az eszköz lehetővé teszi az elkövetők számára, hogy távolról irányítsák az áldozat gépét: asztali hozzáférést kapnak, billentyűzetnaplózást végezhetnek, visszafordított shellt indíthatnak és további kártékony kódokat futtathatnak memóriában.
Mire számíthatnak azok, akik bedőlnek?
- Kryptovaluta bányász program telepítése
- Adatok ellopása és hálózati terjeszkedés
- További rendszerek kompromittálása
- Állandó jelenlét biztosítása rosszindulatú programok számára
Ez nem csak egyszerű bosszantás: ha ilyen támadás éri meg például egy hotel informatikai rendszerét, komoly anyagi károk és adatvédelmi incidensek következhetnek be.
Mit tehetsz te vagy céged ilyen esetek elkerülésére?
A ClickFix típusú támadások ellen leginkább tudatossággal lehet védekezni. Ha dolgozol vendéglátóiparban vagy bármilyen ügyfélkapcsolatos területen:
- Ne dőlj be soha váratlan e-mailek sürgető üzeneteinek! Különösen akkor legyél óvatos foglalás lemondásokról vagy pénzügyi visszatérítésekről szóló levelekkel.
- Ellenőrizd mindig közvetlenül az adott szolgáltató hivatalos oldalát! Ne kattints linkekre gyanús levelekből.
- Tanítsd meg kollégáidnak is felismerni az ilyen trükköket! Egy kis tréning sok kellemetlenségtől mentheti meg cégedet.
- Soha ne futtass parancsokat vagy programokat ismeretlen forrásból! Még akkor sem, ha azt „szakértők” ajánlják hibajavításként.
- Tartsd naprakészen rendszereidet és biztonsági szoftvereidet!
- Használj többfaktoros hitelesítést minden fontos fiókhoz!
Záró gondolatok
A ClickFix kampány jól mutatja, mennyire kifinomult eszközökkel dolgoznak ma már a csalók. Egy egyszerű hibaüzenetből is lehet olyan csapdahelyzetet kreálni, ami komoly károkat okozhat. Érdemes tehát mindig két lépéssel előrébb járni: ne hagyd magad becsapni! Ha pedig vendéglátóipari cégnél dolgozol vagy ügyfelekkel foglalkozol online térben, ez különösen igaz rád.
Kíváncsi vagy még több hasonló fenyegetésre? Érdemes követni a biztonsági szakértők friss jelentéseit és rendszeresen frissíteni tudásodat – mert ma már nem elég csak jó szándékú lenni ahhoz, hogy biztonságban legyél.
