Netcrook Logo
👤 CRYSTALPROXY
🗓️ 06 Jan 2026  

شاشة زرقاء، قبعة سوداء: عملية احتيال ClickFix الشريرة التي تختطف قطاع الضيافة

العنوان الفرعي: مجرمو الإنترنت يسلّحون شاشات تعطل ويندوز المزيّفة لاستدراج موظفي الفنادق إلى إطلاق برمجيات خبيثة قوية.

تبدأ برسالة بريد إلكتروني بسيطة: إلغاء مزعوم من Booking.com، واسترداد مالي كبير، ورابط. بالنسبة لكثيرين في قطاع الضيافة الأوروبي الصاخب، لا تثير مثل هذه الرسائل سوى القليل من الشك. لكن خلف هذه الواجهة الرقمية، صمّم فاعلو التهديدات سلالة جديدة من الخداع - سلالة تسلّح «شاشة الموت الزرقاء» (BSOD) التي يخشاها الجميع لتحويل حواسيب الفنادق إلى منصات إطلاق برمجيات خبيثة دون قصد.

حقائق سريعة

  • ينتحل المهاجمون صفة Booking.com في رسائل تصيّد تستهدف مؤسسات الضيافة الأوروبية.
  • يُستدرج الضحايا إلى موقع مزيّف مقنع يحاكي مظهر Booking.com.
  • شاشات BSOD المزيّفة في ويندوز تدفع المستخدمين إلى تشغيل أوامر PowerShell خبيثة.
  • يوصل الهجوم DCRAT، وهو حصان طروادة للوصول عن بُعد قادر على تسجيل ضغطات المفاتيح، والوصول إلى سطح المكتب عن بُعد، وغير ذلك.
  • يستخدم المهاجمون النظام المخترق للانتشار أكثر، وسرقة البيانات، وحتى تعدين العملات المشفّرة.

الحملة، التي تتبّعتها Securonix تحت اسم “PHALT#BLYX”، ظهرت لأول مرة في ديسمبر. وهي تستغل عاصفة مثالية: استعجال خدمة العملاء، وسلطة Booking.com، والخوف من تعطل النظام. تحاكي رسائل التصيّد إلغاءً في اللحظة الأخيرة من نزيل، مكتملةً باسترداد مالي مرتفع القيمة لإثارة القلق والعجلة. نقرة واحدة تنقل الضحايا إلى نسخة مطابقة تمامًا من Booking.com، مستضافة على نطاق شبيه بالنطاق الأصلي.

لكن الخداع الحقيقي يبدأ بعد النقر. يعرض الموقع الاحتيالي خطأً - “Loading is taking too long” - ويدفع المستخدمين إلى “refresh”. وبدلًا من الإصلاح، ينتقل المتصفح إلى وضع ملء الشاشة ويعرض شاشة BSOD مزيّفة لويندوز. تحث الرسالة المستخدمين على فتح نافذة «تشغيل» في ويندوز ولصق أمر - تم نسخه مسبقًا إلى الحافظة - ثم الضغط على Enter.

وعلى خلاف شاشات BSOD الحقيقية، التي لا تقدّم أبدًا خطوات للتعافي، فإن هذه الشاشة ترشد المستخدم خلال عملية الإصابة. بضغطة مفتاح واحدة، ينفّذ الضحية غير المنتبه أمر PowerShell يقوم بهدوء بتنزيل حمولة .NET خبيثة وتجميعها باستخدام MSBuild.exe الخاص بمايكروسوفت نفسها. يعطّل الهجوم أجزاءً من Windows Defender، ويرفع الصلاحيات، ويزرع نفسه لضمان الاستمرارية. وفي الخلفية، ينبض حصان طروادة سيّئ السمعة للوصول عن بُعد (DCRAT) بالحياة، متغلغلًا داخل عملية ويندوز شرعية ومرسلًا معلومات تفصيلية عن النظام إلى خادم تحكم وسيطرة بعيد.

من هنا، يحصل المهاجمون على موطئ قدم داخل شبكة الهدف. يتيح لهم DCRAT تسجيل ضغطات المفاتيح، والوصول إلى أسطح المكتب عن بُعد، وتشغيل شيفرة خبيثة إضافية. وفي الهجمات المرصودة، قام المجرمون حتى بتثبيت مُعدّن عملات مشفّرة، مستنزفين موارد قيّمة لتحقيق ربح غير مشروع.

هذه الحملة درسٌ متقن في التلاعب النفسي والتمويه التقني، إذ توظّف الهندسة الاجتماعية وتكتيكات «العيش على موارد النظام» معًا. بالنسبة لموظفي الضيافة تحت الضغط، لم يعد الفاصل بين استكشاف أعطال تقنية المعلومات العاجلة والفخ السيبراني أرقّ مما هو عليه الآن. ومع استمرار المهاجمين في صقل تنكّراتهم، تواجه الصناعة تذكيرًا صارخًا: ليست كل أعطال النظام كما تبدو - والنقر لـ“إصلاح” المشكلة قد يكون أكبر خطأ على الإطلاق.

WIKICROOK

  • شاشة الموت الزرقاء (BSOD): شاشة الموت الزرقاء (BSOD) هي شاشة خطأ في ويندوز تظهر عندما يتعطل النظام ويجب أن يعيد التشغيل بسبب مشكلة حرجة.
  • التصيّد: التصيّد جريمة سيبرانية يرسل فيها المهاجمون رسائل مزيفة لخداع المستخدمين للكشف عن بيانات حساسة أو النقر على روابط خبيثة.
  • PowerShell: PowerShell أداة برمجة نصية في ويندوز تُستخدم للأتمتة، لكن المهاجمين غالبًا ما يستغلونها لتنفيذ أعمال خبيثة خفية.
  • حصان طروادة للوصول عن بُعد (RAT): حصان طروادة للوصول عن بُعد (RAT) هو برمجية خبيثة تتيح للمهاجمين التحكم سرًا في حاسوب الضحية من أي مكان، بما يمكّن من السرقة والتجسس.
  • تفريغ العملية (Process Hollowing): تفريغ العملية تقنية تختبئ فيها البرمجيات الخبيثة داخل ذاكرة برنامج شرعي، ما يسمح لها بتجنب الكشف وتنفيذ أعمال خبيثة.
Phishing Malware Hospitality
CRYSTALPROXY CRYSTALPROXY
Secure Routing Analyst
← Back to news