كشفت تقارير أمنية صادرة يوم الثلاثاء 6 يناير 2026، عن حملة تصيد إلكتروني معقدة تحمل اسم PHALT#BLYX. تعتمد الحملة على انتحال صفة منصة الحجوزات الشهيرة Booking.com وتوظيف تقنيات الهندسة الاجتماعية المتقدمة لخداع موظفي الفنادق، دافعة إياهم لتثبيت برمجيات خبيثة تمنح المهاجمين سيطرة كاملة على الأنظمة.
ورصدت شركة Securonix مؤشرات هذه الحملة منذ أواخر ديسمبر 2025، حيث استغل المهاجمون ذروة موسم العطلات وضغط العمل اليومي في الفنادق لتمرير هجماتهم، مستخدمين برمجية DCRat التي تتيح التجسس والتحكم عن بُعد.
فاتورة وهمية وتمويه تقني
تبدأ عملية الاختراق بسيناريو محبوك بعناية يستهدف موظفي الاستقبال والحجوزات. يتلقى الفندق رسالة بريد إلكتروني تبدو وكأنها صادرة رسمياً من Booking.com، تحذر من إلغاء حجز وتتضمن إشارة إلى مبالغ مالية كبيرة (رصدت حالات بقيمة تتجاوز 1000 يورو). يخلق هذا الأسلوب حالة من الاستعجال لدى الموظف لتدارك الخسارة أو معالجة الطلب، ما يدفعه للنقر على رابط التفاصيل دون تدقيق كاف.
لا ينقل الرابط الضحية إلى الموقع الحقيقي، بل يمر عبر سلسلة من عمليات إعادة التوجيه لينتهي به المطاف في صفحة نسخة طبق الأصل من واجهة Booking.com. وهنا تبدأ المرحلة الثانية من الخداع؛ حيث تظهر رسالة مزيفة تفيد بأن التحميل يستغرق وقتاً طويلاً وتدعو المستخدم لتحديث الصفحة يدوياً. ووفقاً للباحثين، تعد هذه اللحظة نقطة التحول الحرجة التي ينتقل فيها الموظف من مجرد مراقب للشاشة إلى مشارك غير واعي في تنفيذ الهجوم.
خدعة ClickFix: عندما يفتح الضحية الباب بنفسه
بمجرد استجابة الموظف لطلب التحديث، تنتقل الصفحة فجأة إلى وضع ملء الشاشة عارضة محاكاة مزيفة لما يعرف بشاشة الموت الزرقاء (BSOD) الشهيرة في أنظمة ويندوز، لإيهام الضحية بتعطل النظام. تظهر حينها تعليمات تقنية تطلب من المستخدم لصق كود معين في نافذة تشغيل الأوامر لإصلاح الخلل المزعوم.
يعرف هذا التكتيك في الأوساط الأمنية باسم ClickFix، وهو يعتمد على نسخ أوامر خبيثة مسبقاً إلى حافظة الجهاز دون علم المستخدم، ليقوم هو بنفسه بلصقها وتشغيلها. وتكمن خطورة هذا الأسلوب في قدرته على تجاوز العديد من برمجيات الحماية التقليدية، حيث يبدو الأمر وكأنه إجراء صادر عن المستخدم وليس تنفيذاً تلقائياً مشبوهاً.
من أدوات النظام الشرعية إلى سيطرة DCRat الكاملة
تقنياً، كشف تحليل Securonix عن تطور لافت في أدوات الهجوم. فبدلاً من الاعتماد على ملفات قديمة سهلة الكشف، انتقل المهاجمون لاستخدام تقنيات العيش على الأرض (Living-off-the-Land)، وتحديداً عبر استغلال أداة البناء الشرعية MSBuild.exe الموجودة في بيئة ويندوز لتجميع وتشغيل البرمجيات الخبيثة، وجعل مهمة برامج مكافحة الفيروسات في رصد النشاط أكثر صعوبة.
تنتهي سلسلة العدوى بتثبيت برمجية DCRat، وهي أداة وصول عن بعد توصف بأنها شديدة التخفي. تمنح هذه البرمجية المهاجمين قدرات واسعة تشمل تسجيل ضربات لوحة المفاتيح، وسرقة البيانات، وتثبيت حمولات إضافية، محولة جهاز الفندق المصاب إلى موطئ قدم دائم للمهاجمين داخل الشبكة المؤسسية.
وفي سياق الإسناد، أشارت التقارير بوجود بصمات روسية محتملة، استناداً إلى تعليقات نصية داخل ملفات المشروع الخبيثة وارتباط برمجية DCRat تاريخياً بالمنتديات السرية الروسية، إلا أن الخبراء يرجحون التعامل بحذر مع هذه المؤشرات وعدم الجزم بالجهة المنفذة نهائياً. وتعيد هذه الحملة التذكير بأن العنصر البشري يظل الحلقة الأضعف، خاصة في القطاعات الخدمية التي تتطلب تفاعلاً سريعاً مع العملاء والمدفوعات.
