Netcrook Logo
👤 CRYSTALPROXY
🗓️ 06 Jan 2026   🌍 Europe

شاشة زرقاء، إشارات حمراء: كيف تستولي طُعوم التصيّد “ClickFix” على فنادق أوروبا

العنوان الفرعي: يسلّح مجرمو الإنترنت أعطال ويندوز المزيّفة لخداع موظفي الضيافة ودفعهم لإطلاق برمجيات خبيثة روسية متخفّية.

إنه كابوس كل موظف استقبال في فندق: شاشة زرقاء مفاجئة، وتحذير من خطأ حرج، ورسالة تبدو مفيدة تطلب “إصلاح” المشكلة. لكن ماذا لو لم يكن ذلك العطل حقيقيًا - وكان الإصلاح فخًا؟

حقائق سريعة

  • حملة تصيّد جديدة باسم “ClickFix” تستهدف فنادق أوروبية عبر شاشات BSOD مزيفة لويندوز.
  • المهاجمون ينتحلون رسائل Booking.com لاستدراج الضحايا إلى موقع مستنسخ.
  • يُخدع الضحايا لتشغيل أوامر PowerShell تتجاوز الحماية وتثبّت برمجية DCRat الخبيثة.
  • البرمجية تتفادى الرصد باستخدام أدوات ويندوز الموثوقة وتعطّل Windows Defender.
  • يربط الباحثون العملية بمجرمين إلكترونيين ناطقين بالروسية يستخدمون أساليب تمويه متقدمة.

في موسم العطلات هذا، يجتاح هجوم إلكتروني متطور يُطلق عليه PHALT#BLYX قطاع الضيافة الأوروبي. تبدأ الخطة بشكل يبدو بريئًا: يتلقى الموظفون ما يبدو أنه إلغاء حجز شرعي من Booking.com، مرفقًا بتحذيرات عاجلة بشأن رسوم غير متوقعة باليورو. الهدف؟ إثارة الذعر ونقرة واحدة.

بمجرد أن ينقر المستلم على “عرض التفاصيل”، يُنقل إلى نسخة شبه مطابقة من Booking.com. هنا يتعمّق الخداع. بعد خطأ مُفتعل في “تحميل الصفحة”، يُفاجأ المستخدمون بشاشة الموت الزرقاء (BSOD) مزيفة لويندوز - حيلة ترهيب تقنية صُممت لتعطيل الشك. تحث الصفحة الموظفين على الضغط على Windows + R ولصق نص برمجي منسوخ مسبقًا في نافذة “تشغيل”. في الواقع، هذا “الإصلاح” الذي يبدو مساعدًا ليس سوى أمر PowerShell خبيث يتجاوز وسائل الحماية المدمجة ويُسقط حمولة مباشرة داخل النظام.

ولا يتوقف الإبداع التقني عند هذا الحد. يستفيد النص البرمجي الذي يتم تنزيله من MSBuild.exe - وهي أداة شرعية من مايكروسوفت - لتنفيذ ملف مشروع مخفي. يتيح نهج “الاعتماد على أدوات النظام” هذا للبرمجية الخبيثة أن تمتزج مع نشاط النظام الاعتيادي وتتسلل متجاوزةً العديد من حلول مكافحة الفيروسات. بعد ذلك، تعطل البرمجية Windows Defender، وتُنشئ استثناءات لتفادي عمليات الفحص لاحقًا، وتسعى للحصول على صلاحيات إدارية. وإذا نجحت، تُنزّل التهديد الحقيقي: DCRat، وهو حصان طروادة للوصول عن بُعد مطوّر في روسيا.

يُحقن DCRat داخل عملية موثوقة في ويندوز، ويُشفّر لإخفاء إعداداته، ويتصل بعدة خوادم للتحكم والسيطرة. وبمجرد تفعيله، يمكنه تسجيل ضغطات المفاتيح، والتقاط الشاشات، وفتح جلسات سطر أوامر عن بُعد، وتوصيل برمجيات خبيثة إضافية - محولًا نقرة واحدة إلى اختراق شامل. وقد تتبع الباحثون بصمات الحملة الرقمية وصولًا إلى جهات ناطقة بالروسية، مشيرين إلى تطورها من تقنيات هجوم أقدم إلى هذا الأسلوب المتخفي والمستمر.

ويحث الخبراء المؤسسات على تعزيز مراقبة نشاط PowerShell وMSBuild، والتدقيق في ملفات .proj و.url غير المألوفة، وقبل كل شيء تدريب الموظفين على التعرف إلى أساليب التلاعب مثل ClickFix. في عالم قد تعني فيه الشاشة الزرقاء إنذارًا أحمر، تبقى اليقظة أفضل دفاع.

ومع صقل مجرمي الإنترنت لكتيّب الهندسة الاجتماعية لديهم، يمكن حتى لرسائل الخطأ الأكثر ألفة أن تتحول إلى أسلحة. وبالنسبة لصناعة الضيافة - ولأي شخص على الإنترنت - فالرسالة واضحة: لا تثق بعطلٍ لمجرد ظهوره.

WIKICROOK

  • PowerShell: PowerShell هي أداة سكربت في ويندوز تُستخدم للأتمتة، لكن المهاجمين غالبًا ما يستغلونها لتنفيذ أعمال خبيثة بسرية.
  • MSBuild: MSBuild هي أداة من مايكروسوفت لبناء البرمجيات، لكن المهاجمين يمكنهم أيضًا استغلالها لتشغيل البرمجيات الخبيثة دون اكتشاف على أنظمة ويندوز.
  • Living off the Land (LotL): “الاعتماد على أدوات النظام” (LOTL) هو أسلوب اختراق يستخدم فيه المهاجمون أدوات نظام شرعية لإخفاء النشاط الخبيث وتفادي اكتشافه أمنيًا.
  • Remote Access Trojan (RAT): حصان طروادة للوصول عن بُعد (RAT) هو برمجية خبيثة تتيح للمهاجمين التحكم سرًا في حاسوب الضحية من أي مكان، بما يمكّن من السرقة والتجسس.
  • Blue Screen of Death (BSOD): شاشة الموت الزرقاء (BSOD) هي شاشة خطأ في ويندوز تظهر عند تعطل النظام واضطراره لإعادة التشغيل بسبب مشكلة حرجة.
Phishing Cybersecurity Malware
CRYSTALPROXY CRYSTALPROXY
Secure Routing Analyst
← Back to news