文章总结： 新型ClickFix攻击PHALT#BLYX利用伪造Booking.com邮件与蓝屏界面，针对欧洲酒店业实施攻击。攻击诱导用户执行恶意PowerShell指令，植入具备持久化和挖矿功能的DCRAT木马。正版蓝屏无修复指引，建议警惕索要手动操作的报错界面。 综合评分： 86 文章分类： 社会工程学,恶意软件,威胁情报,终端安全

蓝屏警告：伪造 BSOD 驱动 ClickFix 社会工程攻击

HackerNews

安全威胁纵横

2026年1月6日 15:30 湖北

高危漏洞

紧急修复指南

RCE Patch

新型ClickFix社会工程攻击活动正针对欧洲酒店与旅游业展开。攻击者通过伪造的Windows蓝屏死机画面，诱骗受害者手动编译并执行恶意软件。

推测e

1

攻击手段解析

BSOD是当Windows操作系统遭遇致命且不可恢复的错误时显示的系统崩溃画面，系统会因此停止运行。2025年12月首次被发现，安全公司Securonix将其追踪并命名为“PHALT#BLYX”。攻击者通过冒充Booking.com的钓鱼邮件，引导受害者进入ClickFix社会工程攻击流程并最终投放恶意软件。

ClickFix社会工程学攻击，是指攻击者搭建恶意网页，伪造系统报错、安全预警、验证码验证或系统更新提示等界面，并诱导访客执行特定电脑指令以 “修复问题”。

受害者往往会按照攻击者的指引，运行恶意的PowerShell或Shell命令，最终导致自身设备被感染。

在此次新型攻击活动中，攻击者以酒店住客的名义发送钓鱼邮件，谎称取消Booking.com预订订单，邮件接收对象多为酒店服务机构。邮件中宣称的退款金额通常较高，以此给收件人制造紧迫感。

图源：Securonix

点击邮件中的链接后，受害者会被导向一个托管在“low-house [.] com” 域名下的伪造页面。Securonix称，该页面是对Booking.com的 “高仿真克隆”。

Securonix的报告指出：“该页面照搬了Booking.com的官方品牌元素，包括正确的配色方案、企业标识和字体样式。若不是专业人士，很难将其与正版网站区分开来。”

该恶意页面内置恶意JavaScript脚本，会向目标用户弹出 “加载耗时过长” 的虚假报错提示，诱使其点击按钮刷新页面。

图源：Securonix

然而，当目标用户点击该按钮时，浏览器会自动进入全屏模式，并弹出伪造的Windows蓝屏死机界面，ClickFix社会工程学攻击自此正式启动。

图源：Securonix

这个伪造的蓝屏界面会引导用户打开Windows “运行” 对话框，按下快捷键 “Ctrl+V”，将预先复制到系统剪贴板的恶意指令粘贴进去，随后提示用户点击 “确定” 或按下回车键执行该指令。

需要注意的是，正版Windows蓝屏界面不会提供任何系统恢复操作指引，仅会显示错误代码和重启提示。但部分缺乏经验的用户，或是急于处理订单纠纷的酒店工作人员，很容易忽略这一识破骗局的关键特征。

02

恶意程序的执行与危害

执行粘贴的恶意指令后，一条PowerShell命令会被触发：该命令会打开一个Booking.com管理后台的伪装页面，与此同时，在系统后台秘密下载一个名为 “v.proj” 的恶意.NET 项目文件，并调用Windows系统合法的 MSBuild.exe 编译器对其进行编译。

恶意程序加载执行后，会先将自身添加至Windows Defender的查杀排除列表，再触发用户账户控制弹窗以获取管理员权限。随后，它会借助后台智能传输服务下载核心加载程序，并在系统启动文件夹中植入一个.url 文件，以此实现恶意程序的持久化驻留。

此次攻击投放的恶意程序为“staxs.exe”，其本质是一款名为DCRAT的远程控制木马。这类木马是威胁攻击者常用的工具，可实现对受感染设备的远程操控。

该恶意程序会通过“进程掏空” 技术，将自身注入系统合法进程 “aspnet_compiler.exe” 中，并直接在内存中完成执行。

在与命令与控制服务器建立首次连接后，恶意程序会向服务器发送受感染设备的完整系统指纹信息，随后进入待命状态，等待接收攻击者下发的指令。

DCRAT木马支持多项恶意功能，包括远程桌面控制、键盘记录、反向 Shell 连接，以及在内存中加载运行其他恶意载荷。Securonix在此次攻击事件中发现，攻击者还在受感染设备中植入了挖矿程序。

一旦攻击者通过该木马获得设备的远程访问权限，就相当于在目标网络中建立了“立足点”，进而可以横向渗透至其他设备、窃取敏感数据，并有可能危及整个系统架构的安全。

转载请注明出处@安全威胁纵横，封面来源于网络；

消息来源：https://www.bleepingcomputer.com/news/security/clickfix-attack-uses-fake-windows-bsod-screens-to-push-malware/

更多网络安全视频，请关注视频号“知道创宇404实验室”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全威胁纵横 HackerNews《蓝屏警告：伪造 BSOD 驱动 ClickFix 社会工程攻击》