BSOD là màn hình hiển thị lỗi Windows khi hệ điều hành gặp phải sự cố nghiêm trọng, không thể khắc phục và khiến máy tính không thể hoạt động.

Trong một chiến dịch mới được phát hiện lần đầu vào tháng 12/2025 và được các nhà nghiên cứu tại hãng bảo mật Securonix theo dõi với mã hiệu PHALT#BLYX, các email lừa đảo mạo danh Booking.com đã dẫn đến một cuộc tấn công kỹ nghệ xã hội ClickFix, từ đó triển khai phần mềm độc hại.

Khởi đầu của một cuộc tấn công ClickFix thông thường là những trang web được thiết kế để hiển thị thông báo lỗi hoặc sự cố, sau đó đưa ra các “giải pháp” để khắc phục. Chúng có thể là các cảnh báo bảo mật, thử thách CAPTCHA hoặc thông báo cập nhật hướng dẫn người truy cập chạy một lệnh trên máy tính của họ để khắc phục sự cố.

Nạn nhân cuối cùng tự lây nhiễm vào máy tính của mình bằng cách chạy các lệnh PowerShell hoặc shell độc hại được cung cấp trong hướng dẫn của kẻ tấn công.

Trong chiến dịch ClickFix mới này, tin tặc gửi email lừa đảo giả danh khách hàng đang hủy đặt phòng khách sạn trên Booking.com, thường được gửi đến các công ty trong ngành khách sạn. Số tiền hoàn trả được yêu cầu đủ lớn để tạo cảm giác cấp bách cho người nhận email.

Thông báo hủy đặt phòng giả mạo từ Booking.com

Nhấp vào liên kết trong email sẽ dẫn nạn nhân đến một trang web Booking.com giả mạo lưu trữ trên low-house[.]com. Trang web này sử dụng thương hiệu chính thức của Booking.com, bao gồm bảng màu, logo và phông chữ. Đối với người dùng thông thường, rất khó phân biệt được với trang web chính thức”, Securonix báo cáo.

Theo các nhà nghiên cứu, trang web này chứa mã JavaScript độc hại, hiển thị lỗi giả mạo “Loading is taking too long” cho người dùng, yêu cầu họ nhấp vào button để tải lại trang.

Thông báo lỗi giả mạo “Loading is taking too long”

Tuy nhiên, khi nạn nhân chọn nhấp vào button này, trình duyệt thay vì hiển thị thông tin cần thiết sẽ chuyển sang chế độ toàn màn hình và hiển thị màn hình lỗi BSOD giả mạo của Windows, từ đó khởi động cuộc tấn công kỹ nghệ xã hội ClickFix.

Màn hình BSOD ClickFix hiển thị trên trình duyệt của nạn nhân

Màn hình sẽ yêu cầu người dùng mở hộp thoại RUN của Windows và sau đó nhấn CTRL+V, thao tác này sẽ dán một lệnh độc hại đã được sao chép vào clipboard của Windows. Sau đó, người dùng được yêu cầu nhấn nút OK hoặc phím Enter trên bàn phím để thực hiện lệnh.

Thông báo BSOD thực tế không cung cấp hướng dẫn khắc phục mà chỉ hiển thị mã lỗi và thông báo khởi động lại, nhưng người dùng thiếu kinh nghiệm có thể bỏ qua những dấu hiệu lừa đảo này.

Việc dán lệnh được cung cấp sẽ chạy một lệnh PowerShell mở trang quản trị Booking.com giả mạo. Đồng thời, trong nền nó sẽ tải xuống một tệp .NET độc hại (v.proj) và biên dịch nó bằng trình biên dịch MSBuild[.]exe hợp pháp của Windows.

Khi thực thi, phần mềm độc hại này sẽ thêm các ngoại lệ cho Windows Defender và kích hoạt lời nhắc UAC để giành quyền quản trị, trước khi tải xuống loader chính bằng Background Intelligent Transfer Service (BITS) và thiết lập khả năng duy trì hoạt động bằng cách đặt một tệp .url vào thư mục Startup.

Phần mềm độc hại (staxs.exe) là DCRAT, một trojan truy cập từ xa thường được các tác nhân đe dọa sử dụng để truy cập từ xa vào các thiết bị bị nhiễm. Mã độc được chèn vào tiến trình “aspnet_compiler[.]exe” hợp pháp bằng cách sử dụng kỹ thuật “process hollowing” và thực thi trực tiếp trong bộ nhớ.

Ngay khi tiếp xúc lần đầu với máy chủ điều khiển và ra lệnh (C2), phần mềm độc hại gửi toàn bộ dấu vân tay hệ thống của nó và sau đó chờ lệnh để thực thi. DCRAT cũng hỗ trợ chức năng điều khiển máy tính từ xa, ghi lại thao tác bàn phím, tạo reverse shell và thực thi các payload bổ sung trong bộ nhớ. Trong trường hợp được Securonix ghi nhận, những kẻ tấn công đã cài đặt một phần mềm khai thác tiền điện tử.

Sau khi thiết lập được quyền truy cập từ xa, các tin tặc đã thiết lập tính duy trì trên mạng lưới của mục tiêu, cho phép chúng lây lan sang các thiết bị, đánh cắp dữ liệu và có khả năng xâm phạm các hệ thống khác.