O campanie de phishing care vizează hoteluri și alte companii din industria ospitalității din Europa folosește o metodă pervers de eficientă: un „Blue Screen of Death” (BSOD) fals, afișat în full-screen, menit să inducă panică și să împingă angajații să ruleze singuri comenzi malițioase. În loc să forțeze o descărcare automată ușor de blocat de soluțiile de securitate, atacatorii se bazează pe social engineering: te sperie, îți oferă „pașii de rezolvare” și te conving să apeși exact butoanele care le deschid ușa.
Cercetătorii Securonix au urmărit campania sub numele PHALT#BLYX și au descris-o ca o variantă a tehnicii ClickFix, unde victima este ghidată să copieze și să execute un script (de obicei PowerShell) „ca să repare eroarea”. Rezultatul final, în scenariul descris în mai multe analize, este instalarea unui troian de acces la distanță (RAT), DCRat, care poate oferi atacatorilor control persistent asupra sistemului compromis.
Cum funcționează capcana: de la „Booking.com” la BSOD-ul de panică
Lanțul începe banal: un angajat primește un e-mail care pare legat de o rezervare și, de multe ori, de o anulare sau o taxă mare în euro. Mesajul e construit să te grăbească: ești în tură, ai clienți, ai presiune, iar suma „șocantă” te împinge să verifici rapid detaliile. Linkul din e-mail te duce către o pagină care imită un flux legitim, dar în loc de informații reale apare un pas de „verificare” care se transformă repede într-un BSOD fals, afișat peste tot ecranul.
BSOD-ul e partea psihologică a atacului. Windows „pare” că a crăpat, tu „ai făcut ceva” (ai deschis linkul), și, în mintea ta, există o soluție: trebuie să rezolvi. Aici intră ClickFix: pagina îți oferă instrucțiuni „de remediere” care, în esență, te îndeamnă să copiezi și să rulezi o comandă PowerShell. Faptul că tu rulezi manual comanda înseamnă că ocolește multe mecanisme automate care blochează descărcări suspecte sau executabile venite direct din browser. Practic, ești transformat din victimă în „instalator”.
De ce e periculos: ocolește filtrele și se ascunde în instrumente legitime
După ce comanda PowerShell este executată, campania descrisă de cercetători continuă în mod „curat” din perspectiva sistemului: descarcă fișiere suplimentare și folosește componente legitime Windows pentru a executa codul atacatorilor. Un element-cheie menționat în analize este folosirea MSBuild (un instrument real din ecosistemul Microsoft), o tactică menită să facă activitatea malițioasă să pară „normală” pentru unele soluții de securitate și să reducă șansele de detecție în comparație cu metode mai vechi, mai evidente.
În final, ținta este instalarea unui RAT (DCRat). Un RAT nu e doar „un virus”: e o unealtă de control. Poate permite acces persistent, supraveghere a activității, mișcări laterale în rețea și livrarea de payload-uri suplimentare (de la furt de date până la ransomware), în funcție de ce urmărește gruparea. Într-un hotel, asta e deosebit de sensibil: ai date operaționale, acces la e-mailuri, fluxuri de rezervări, documente interne și uneori integrare cu sisteme de plăți sau terți.
Mai grav: atacul exploatează exact reflexele sănătoase ale unui angajat. Într-o zi aglomerată, când primești „anulare” + „sumă mare” + „eroare de sistem”, ai impulsul să rezolvi repede ca să nu blochezi recepția, back-office-ul sau comunicarea cu clienții. Campania e calibrată pe ritmul industriei: perioade aglomerate, multe e-mailuri, multe situații care par urgente.
Indicii despre autorii atacului și de ce ospitalitatea e o țintă preferată
În rapoarte apare menționată o suspiciune de legături cu actori vorbitori de rusă: artefacte lingvistice în fișiere, plus faptul că familia DCRat este frecvent tranzacționată pe forumuri underground rusești, ceea ce întărește ipoteza unei zone de origine sau, cel puțin, a unui ecosistem criminal asociat. Totuși, asemenea indicii nu sunt o „semnătură” definitivă: în cyber, imitarea și reutilizarea sunt la ordinea zilei, iar atribuirea rămâne dificilă fără date suplimentare.
De ce hotelurile? Pentru că sunt un nod de informație și bani, dar și o zonă cu suprafață mare de atac: e-mailuri non-stop, comunicare cu platforme de rezervări, personal sezonier, turnover, multe terminale și situații în care „trebuie să meargă acum”. În plus, atacatorii știu că un incident care blochează recepția sau sistemul de rezervări nu e doar o problemă IT; e o criză operațională. Iar când miza e să funcționezi, oamenii sar peste pași de siguranță.
Cum te protejezi: reguli simple care taie atacul din rădăcină
Dacă lucrezi într-un hotel sau într-o companie de ospitalitate, tratează orice e-mail „de rezervare” care te grăbește cu bani mulți ca pe un potențial atac, mai ales când te împinge să dai click pe „See details” sau pe un buton similar. Verifică expeditorul real (nu doar numele afișat), caută semne de domeniu suspect și, cel mai important, nu folosi linkul din e-mail ca să „te lămurești”. Intră tu separat în platforma folosită de unitate (din bookmark/portal intern) și verifică acolo rezervarea. Dacă e reală, o vezi și fără link.
Când apare un BSOD sau o „eroare” în browser care îți cere să rulezi comenzi, oprește-te imediat. Nu există scenariu legitim în care o pagină web îți cere să copiezi și să execuți un PowerShell ca să „repari Windows”. Dacă ești în dubiu, închide browserul, deconectează-te de la rețea (dacă ai procedură internă), anunță IT-ul și notează ce ai văzut (subiect e-mail, ora, captură de ecran). Un atac de tip ClickFix trăiește din impulsul tău de a „face repede”. Dacă încetinești 30 de secunde, îi tai combustibilul.
La nivel de organizație, cele mai utile măsuri sunt cele care reduc șansele ca un angajat să ajungă singur în situația asta: filtrare mai agresivă pentru phishing, politici de restricționare a PowerShell pentru utilizatori obișnuiți, monitorizare pentru execuții suspecte prin MSBuild și training scurt, repetat, pe scenarii reale (nu PDF-uri lungi pe care nu le citește nimeni). Dacă ai rol de decizie, insistă pe exerciții de tip „simulare”: când oamenii văd un BSOD fals o dată în training, îl recunosc mai ușor în viața reală.
