Une campagne de ClickFix frappe actuellement plusieurs hôtels en Europe en détournant l’image de Booking.com et en affichant un faux écran bleu Windows dans le navigateur pour pousser le personnel à exécuter une commande piégée.
Qui dit période de détente hivernale dit vacances pour le quidam, mais aussi pic d’activité pour le secteur de l’hôtellerie… et pour la cybercriminalité. Depuis quelques semaines, les chercheurs de Securonix suivent une campagne de ClickFix baptisée PHALT#BLYX qui vise plusieurs hôtels en Europe. Elle s’appuie sur de faux mails Booking.com, un site cloné et un écran bleu de la mort factice généré dans le navigateur pour pousser le personnel à exécuter une commande sur les postes de réception. Une séquence parfaitement orchestrée qui débouche sur le déploiement d’une variante de DCRat, cheval de Troie d’accès à distance bien ancré dans l’écosystème russophone.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Du mail piégé au faux BSOD
D’après les analyses de Securonix, le vecteur d’intrusion n’est autre qu’un banal mail de phishing, usurpant l’identité de la plateforme Booking. Les codes visuels y sont repris à l’identique, et le contenu du message prétexte une annulation de réservation, impliquant un remboursement suffisamment élevé en euros pour inciter la victime à cliquer sur le lien censé en afficher le détail.
Évidemment, ce lien frauduleux ne renvoie pas vers Booking, mais vers un site leurre contrôlé par les cybercriminels. En lieu et place des informations relatives à la prétendue réservation, une boîte de dialogue signale que le chargement de la page prend trop de temps et suggère de cliquer sur le bouton « Actualiser » pour la rafraîchir.
Le navigateur passe alors en mode plein écran et affiche un faux BSOD Windows qui présente une série d’instructions à suivre pour corriger cet apparent plantage du système. Comme dans la majorité des attaques ClickFix, la manipulation cherche à inciter la victime à ouvrir la fenêtre Exécuter et à y coller une commande malveillante. Cette commande contacte ensuite un serveur contrôlé par les attaquants, y récupère du code et s’appuie sur des outils Windows légitimes pour l’exécuter en arrière-plan, le temps de télécharger une variante du trojan DCRat, de désactiver Microsoft Defender et d’installer une porte dérobée persistante sur le poste compromis.
Une fois installé, DCRat établit une liaison vers un serveur C2 et lui transmet un profil détaillé de la machine (version de Windows, utilisateur, antivirus, éventuel domaine d’entreprise). Les opérateurs peuvent alors prendre le contrôle du PC, afficher l’écran en temps réel, enregistrer les frappes au clavier, exécuter des commandes système, déployer d’autres malwares, exfiltrer des informations sensibles, notamment des identifiants, et étendre leur accès à d’autres postes ou serveurs du réseau de l’établissement par mouvements latéraux.
Comment ne pas tomber dans le piège
Naturellement, ce type d’attaque repose sur le sentiment d’urgence et les réflexes automatiques qu’il engendre. Par conséquent, dans ce cas précis, on rappellera qu’il faut toujours gérer réservations et remboursements depuis des accès définis (favoris, portail interne), pas depuis un lien reçu par mail.
Par là même, n’oubliez pas qu’un BSOD authentique fige systématiquement tout le système, empêchant de facto d’accéder aux autres fonctions du PC, y compris à la boîte d’exécution, et qu’il ne contient jamais d’instruction à exécuter, encore moins un copier-coller de commande.
Enfin, côté IT, limitez les droits admin au strict nécessaire sur les postes de réception, surveillez l’exécution de scripts inattendus et appuyez-vous sur une solution de sécurité capable de détecter les comportements anormaux, en particulier les enchaînements entre navigateur, commandes PowerShell et modification des réglages de Defender.
Source : Securonix
