O campanie de phishing destinată hotelurilor și altor companii din sectorul ospitalității din Europa utilizează o metodă extrem de eficientă: afișarea unui „Blue Screen of Death” (BSOD) fals, în modul full-screen, conceput să inducă panică și să oblige angajații să ruleze singuri comenzi malițioase. În loc să impună o descărcare automată ușor de blocat de către soluțiile de securitate, infractorii se bazează pe inginerie socială: te sperie, îți oferă pași de remediere și te conving să apeși exact pe butoanele care le facilitează accesul.
Cercetătorii de la Securonix au investigat această campanie, denumită PHALT#BLYX, descriind-o ca o variantă a tehnicii ClickFix, unde victima este ghidată să copieze și să execute un script (de regulă PowerShell) pentru a „repara eroarea”. Scopul final, conform analizelor, este instalarea unui troian de control de la distanță (RAT), DCRat, care permite infractorilor control continuu asupra sistemului compromis.
Cum funcționează capcana: de la notificarea „Booking.com” la BSOD-ul de panică
Lanțul începe banal: un angajat primește un email aparent legat de o rezervare, de multe ori cu mențiuni despre anulare sau o sumă mare în euro. Mesajul este conceput pentru a induce grabă: te afli în ture, ai clienți și presiune, iar suma „șocantă” te determină să verifici rapid detaliile. Link-ul din email te direcționează către o pagină care imită un flux legitim, însă în loc de informații autentice apare un pas de „verificare” care se transformă rapid într-un BSOD fals, afișat peste tot ecranul.
Acest BSOD reprezintă componenta psihologică a atacului. Windows pare că s-a blocat, iar tu crezi că ai descoperit cauza problemei (pentru că ai accesat link-ul). În mintea ta, soluția este să remediezi situația: aici intră tehnica ClickFix, care îți oferă instrucțiuni pentru „rezolvare” ce te îndeamnă să copiezi și să rulezi o comandă PowerShell. Executarea manuală a acestei comenzi evită mecanismele automate ce blochează descărcările suspecte sau executabilele din browser, transformându-te din victimă în facilitator.
De ce este periculos: evită filtrele și se ascunde în instrumente legitime
După ce comanda PowerShell este lansată, atacul continuă într-un mod subtil: descarcă fișiere suplimentare și utilizează componente autentice Windows pentru a executa codul malițios. Un element cheie menționat în analize este folosirea MSBuild, un instrument real din ecosistemul Microsoft, o tactică menită să facă activitatea malițioasă să pară normală și mai greu de detectat pentru soluțiile de securitate, reducând riscul de identificare față de metodele mai vechi și mai evidente.
Obiectivul final este instalarea unui RAT (DCRat). Acest tip de malware nu reprezintă doar un virus, ci o unealtă de control: oferă acces persistent, supravegherea activităților, mișcări laterale în rețea și distribuirea de payload-uri suplimentare (de exemplu, furt de informații, ransomware), în funcție de scopul grupului infracțional. În sectorul hotelier, acest lucru devine extrem de sensibil, deoarece potențialele compromise implică date operaționale, corespondență prin email, fluxuri de rezervări și documente interne, inclusiv integrare cu sisteme de plăți sau colaboratori externi.
Mai grav, atacul capitalizează impulsurile naturale ale angajaților: într-un mediu aglomerat, cu multiple emailuri de tip „anulare” și „sume mari”, există tentația de a acționa rapid pentru a evita blocarea activității. Astfel, atacatorii se sincronizează cu ritmul specific industriei, știind că majoritatea situațiilor urgente determinează angajații să renunțe la măsurile de siguranță.
Semnale despre autorii acestei campanii și de ce sectorul ospitalității reprezintă o țintă preferată
În rapoarte este menționată posibilitatea legăturii cu actori ce vorbesc limba rusă: elemente lingvistice în fișiere și faptul că familia DCRat este tranzacționată frecvent pe forumuri underground rusești, indicii ce sugerează o origine sau un ecosistem infracțional asociat. Totuși, asemenea indicii nu constituie o „semnătură” definitivă, deoarece în cybercriminalitate, imitarea și reutilizarea tehnicilor sunt frecvente, iar atribuirea precisă necesită date suplimentare.
De ce hotelurile? Pentru că reprezintă puncte centrale de informații și fonduri: comunica nonstop, gestionează platforme de rezervări, au personal sezonier, dacă are loc turnover și există multiple terminale, situațiile de urgență fiind frecvente. În plus, atacatorii știu că un incident ce blochează recepția sau sistemul de rezervări nu afectează doar IT-ul, ci provoacă o criză operațională. În astfel de condiții, angajații sunt mai predispuși să ignore măsurile de siguranță pentru a menține funcționarea normală.
Măsuri simple de protecție pentru stoparea atacurilor de tip phishing
Dacă lucrezi în sectorul ospitalității, tratează orice email „de rezervare” care te presează să acționezi urgent cu prudență, mai ales dacă îți cere să dai click pe butonul „See details” sau similar. Verifică adresa reală a expeditorului, nu doar numele afișat, și fii atent la domenii suspecte. Cel mai sigur este să nu folosești linkurile din email pentru verificări; accesează direct platforma internă sau bookmark-urile oficiale și confirmă autenticitatea rezervării. În cazul în care apare un BSOD sau o eroare similară în browser care solicită rularea unor comenzi, oprește imediat operațiunea. Nu există situație legitimă în care o pagină web solicită rularea unui PowerShell pentru „repararea Windows”. În cazul dubiilor, închide browserul, deconectează-te de rețea și informează departamentul de tehnologie. O problemă de tip ClickFix depinde în mare măsură de impulsul de a acționa rapid; dacă acționezi cu răbdare, elimini riscul.
La nivel organizațional, măsurile eficiente includ filtrarea mai strictă a tentativelor de phishing, restricționarea rulării PowerShell pentru utilizatorii obișnuiți, monitorizarea activităților suspecte prin instrumente precum MSBuild și instruirea periodică a personalului privind scenarii reale de atac (nu simple PDF-uri nerelevant citite). Pentru decidenți, recomandarea este să organizeze exerciții de tip simulare, astfel încât angajații pot recunoaște mai ușor semnele unui atac fals dacă le întâlnesc în practică.