Một chiến dịch tấn công mới mang tên ClickFix đang nhắm vào các doanh nghiệp trong lĩnh vực khách sạn – du lịch tại châu Âu, sử dụng màn hình xanh “chết chóc” Windows (BSOD) giả mạo để lừa người dùng tự kích hoạt mã độc trên chính thiết bị của mình.

Theo các nhà nghiên cứu của Securonix, chiến dịch này được phát hiện từ tháng 12/2025. Tin tặc gửi email lừa đảo mạo danh Booking.com, giả vờ thông báo khách hủy đặt phòng với giá trị hoàn tiền lớn cho nhân viên khách sạn.

Khi nhấp vào liên kết trong email, nạn nhân bị dẫn tới một website giả mạo Booking.com được thiết kế gần như giống hệt trang thật. Tại đây, một đoạn mã độc JavaScript hiển thị thông báo lỗi giả như “tải trang quá lâu”, yêu cầu người dùng thao tác để “khắc phục”.

Thực chất, thao tác này sẽ đưa trình duyệt vào chế độ toàn màn hình và hiển thị một màn hình xanh BSOD giả, từ đó kích hoạt kịch bản ClickFix. Màn hình này hướng dẫn người dùng mở hộp thoại Run của Windows, dán một lệnh đã được sao chép sẵn vào clipboard và nhấn Enter để “sửa lỗi”. Với những người thiếu kinh nghiệm hoặc đang chịu áp lực xử lý công việc, đây là cái bẫy rất dễ mắc phải.

Khi lệnh được thực thi, hệ thống sẽ chạy PowerShell để hiển thị một trang quản trị Booking.com giả nhằm đánh lạc hướng. Song song với đó, mã độc được tải về, âm thầm cài đặt vào hệ thống, vượt qua một số cơ chế bảo vệ và thiết lập khả năng tồn tại lâu dài.

Mã độc cuối cùng được xác định là DCRAT – một trojan truy cập từ xa cho phép tin tặc điều khiển thiết bị, ghi lại bàn phím, thực thi lệnh và cài thêm payload khác. Với quyền truy cập từ xa đã được thiết lập, kẻ tấn công có thể mở rộng phạm vi xâm nhập trong mạng nội bộ, đánh cắp dữ liệu và gây ra các rủi ro an ninh nghiêm trọng.