偽のWindows BSODを利用した「ClickFix」攻撃の概要
新たなソーシャルエンジニアリングキャンペーン「ClickFix」がヨーロッパのホスピタリティ業界を標的にしています。この攻撃は、偽のWindowsブルースクリーン・オブ・デス(BSOD)画面を利用し、ユーザーを欺いてマルウェアを手動でコンパイルおよび実行させます。
2026年1月にセキュリティ研究機関Securonixによって「PHALT#BLYX」として追跡されたこのキャンペーンでは、Booking.comを装ったフィッシングメールが発端となり、ClickFixソーシャルエンジニアリング攻撃へと繋がっています。
攻撃の詳細:Booking.comを装う巧妙な手口
ClickFix攻撃は、ウェブページ上にエラーや問題を表示させ、その解決策として「修正」を提示するものです。これらのエラーは、偽のエラーメッセージ、セキュリティ警告、CAPTCHAチャレンジ、または更新通知である場合があり、訪問者に問題解決のために特定のコマンドをコンピューターで実行するよう指示します。これにより、被害者は攻撃者の指示に従って悪意のあるPowerShellまたはシェルコマンドを実行し、自身のマシンを感染させてしまいます。
今回のキャンペーンでは、ホテル客のBooking.com予約キャンセルを装ったフィッシングメールが、ホスピタリティ企業の担当者宛に送付されます。このメールでは、多額の返金額が提示されており、受信者に緊急性を感じさせるよう仕向けられています。
メール内のリンクをクリックすると、実在のBooking.comサイトを「忠実に複製した」とSecuronixが特徴づける、偽のBooking.comウェブサイト「low-house[.]com」に誘導されます。このページは、正規のBooking.comのブランド要素(色、ロゴ、フォントスタイル)をすべて使用しており、注意を払わないユーザーには本物と区別がつかないほど精巧に作られています。
この偽サイトには悪意のあるJavaScriptが仕込まれており、ターゲットには「読み込みに時間がかかりすぎています」という偽のエラーメッセージが表示され、ページを更新するボタンをクリックするよう促されます。しかし、このボタンをクリックすると、ブラウザは全画面表示に切り替わり、偽のWindows BSODクラッシュ画面が表示されます。
この偽BSOD画面は、ユーザーにWindowsの「ファイル名を指定して実行」ダイアログボックスを開き、CTRL+Vキーを押してクリップボードにコピーされた悪意のあるコマンドを貼り付け、OKまたはEnterキーを押して実行するよう促します。実際のBSODメッセージには復旧手順は表示されず、エラーコードと再起動の通知のみが表示されるため、経験の浅いユーザーや、問題解決を急ぐホスピタリティ業界の従業員がこの手口を見落とす可能性があります。
マルウェアの挙動とDCRATによる遠隔操作
ユーザーが提供されたコマンドを実行すると、PowerShellコマンドが実行され、偽のBooking.com管理ページが開きます。同時に、バックグラウンドでは、悪意のある.NETプロジェクト(v.proj)がダウンロードされ、正規のWindowsプログラムであるMSBuild.exeコンパイラによってコンパイルされます。
実行されると、ペイロードはWindows Defenderの除外設定を追加し、UACプロンプトをトリガーして管理者権限を獲得します。その後、Background Intelligent Transfer Service(BITS)を使用してプライマリローダーをダウンロードし、スタートアップフォルダに.urlファイルを配置することで永続性を確立します。
このマルウェア(staxs.exe)は、感染したデバイスへのリモートアクセスに広く利用されているリモートアクセス型トロイの木馬(RAT)であるDCRATです。このマルウェアは、プロセスホローイング技術を用いて正規の「aspnet_compiler.exe」プロセスに注入され、メモリ上で直接実行されます。
コマンド&コントロール(C2)サーバーへの初回接続時に、マルウェアはシステムの完全なフィンガープリントを送信し、その後コマンドの実行を待ちます。DCRATは、リモートデスクトップ機能、キーロギング、リバースシェル、および追加ペイロードのメモリ内実行をサポートしています。Securonixが確認したケースでは、攻撃者が暗号資産マイナーを投下していました。
組織への影響とセキュリティへの提言
リモートアクセスが確立されると、脅威アクターはターゲットのネットワークに足掛かりを得ることになり、他のデバイスへの拡散、データ窃盗、そして潜在的に他のシステムの侵害が可能になります。
このような巧妙なソーシャルエンジニアリング攻撃から身を守るためには、従業員への継続的なセキュリティ教育と、不審なメールやウェブサイトに対する警戒心の向上が不可欠です。不審なリンクをクリックしない、見慣れないコマンドを実行しないといった基本的なセキュリティ意識の徹底が、組織のセキュリティを強化する上で極めて重要です。