Eine neue Malware-Kampagne, die sich gegen Hotel- und Gastgewerbe-Mitarbeiter in ganz Europa richtet, nutzt gefälschte Windows Blue Screen of Death-Seiten aus, um einen leistungsstarken Remote-Access-Trojaner zu verbreiten. Der Angriff kombiniert Phishing-E-Mails, Social Engineering und vertrauenswürdige Windows-Tools, um moderne Endpunkt-Abwehrsysteme zu umgehen.

Forscher sagen, dass die Kampagne, die als PHALT#BLYX verfolgt wird, Buchungs-E-Mails von Booking.com imitiert und Opfer dazu bringt, bösartige Befehle manuell auszuführen. Was diese Operation besonders gefährlich macht, ist ihre Abhängigkeit von "living off the land"-Techniken, die legitime Windows-Komponenten missbrauchen, anstatt traditionelle Malware-Loader zu verwenden.

Das Ergebnis ist der heimliche Einsatz von DCRat, einem bekannten Fernzugriffstrojaner, der in der Lage ist, ein vollständiges Systemkompromiss zu verursachen.

Wichtige Erkenntnisse

• Falsche Buchungs-E-Mails zielen auf Hotelmitarbeiter in ganz Europa ab.
• Opfer werden auf gefälschte Seiten zur Wiederherstellung des Blue Screen of Death umgeleitet.
• Benutzer werden dazu verleitet, schädliche PowerShell-Befehle auszuführen
• Die Malware verwendet MSBuild, um die Erkennung durch Antivirenprogramme zu umgehen.
• DCRat ermöglicht vollständige Fernsteuerung und Datendiebstahl
• Die Kampagne missbraucht stark vertrauenswürdige Windows-Tools.

Wie der Fake-Buchungs-E-Mail-Angriff beginnt

Der Angriff beginnt mit einer Phishing-E-Mail, die wie eine offizielle Nachricht von Booking.com aussieht. Diese E-Mails warnen das Hotelpersonal vor unerwarteten Stornierungen von Reservierungen und fordern sofortige Maßnahmen.

Die Nachrichten beinhalten typischerweise:

• Reservierungs- und Zimmergebühren in Euro aufgeführt
• Ein Gefühl der Dringlichkeit, das mit der Bestätigung der Stornierung verbunden ist
• Ein klickbarer Link, der behauptet, zu Booking.com weiterzuleiten.

Sobald der Link angeklickt wird, leitet er die Opfer auf eine betrügerische Website weiter, die die Benutzeroberfläche von Booking.com visuell imitiert.

Lese auch:

Ein Leitfaden zum Entfernen und Erkennen von Krypto-Malware

Fake CAPTCHA und Blaue Bildschirm Social Engineering

Nachdem die Opfer auf der gefälschten Buchungsseite gelandet sind, wird ihnen eine gefälschte CAPTCHA-Herausforderung präsentiert. Dieser Schritt soll das Misstrauen verringern und Vertrauen aufbauen, bevor die endgültige Payload geliefert wird.

Nach Abschluss des CAPTCHA wird der Benutzer auf eine gefälschte Windows Bluescreen-Fehlerseite umgeleitet. Die Seite behauptet, dass das System einen kritischen Fehler festgestellt hat und bietet schrittweise Wiederherstellungsanweisungen an.

Diese Anweisungen sagen dem Benutzer, dass er:

• Öffnen Sie das Windows Ausführen-Dialogfeld
• Fügen Sie einen Befehl ein, der auf dem Bildschirm angezeigt wird.
• Drücken Sie die Eingabetaste, um das Problem zu beheben

In Wirklichkeit startet der Befehl ein bösartiges PowerShell-Skript.

PowerShell und MSBuild Missbrauch Erklärt

Sobald der PowerShell-Befehl ausgeführt wird, beginnt ein mehrstufiger Infektionsprozess. Das Skript lädt eine speziell gestaltete MSBuild-Projektdatei von einem Remote-Server herunter und führt sie mit MSBuild.exe aus, einem legitimen Entwicklungstool von Microsoft.

Diese Technik ist besonders gefährlich, da MSBuild eine vertrauenswürdige Windows-Binärdatei ist, die oft Sicherheitswarnungen umgeht.

Die MSBuild-Projektdatei führt mehrere Aktionen aus:

• Lädt das DCRat-Payload herunter
• Fügt Microsoft Defender-Ausschlüsse hinzu
• Establishes persistence via den Startup-Ordner
• Startet die Malware lautlos

Wenn die Malware mit Administratorrechten ausgeführt wird, kann sie Windows Defender vollständig deaktivieren.

Aggressive UAC-Umgehungs- und Nutzerermüdungs-Taktiken

Wenn Administratorrechte nicht verfügbar sind, schlägt die Malware nicht sofort fehl. Stattdessen löst sie wiederholt die Eingabeaufforderungen der Windows-Benutzerkontensteuerung aus.

Das Ziel besteht darin, die Ermüdung der Nutzer auszunutzen. Indem wiederholt alle paar Sekunden Genehmigungsanfragen angezeigt werden, hoffen Angreifer, dass die Opfer die Anfrage letztendlich aus Frustration genehmigen.

Diese Taktik hebt hervor, wie Social Engineering nach wie vor eines der schwächsten Glieder in der Endpoint-Sicherheit darstellt.

Techniken zur Ablenkung, um Verdacht zu vermeiden

Um den Verdacht weiter zu verringern, öffnet das PowerShell-Skript nach der Ausführung die echte Booking.com-Administrationsseite im Standardbrowser.

Dies erzeugt die Illusion, dass die Benutzeraktion legitim und mit ihrer ursprünglichen Aufgabe verbunden war. In der Zwischenzeit setzt die Malware-Installation im Hintergrund fort, ohne sichtbare Anzeichen.

Diese Kombination aus Täuschung und Ablenkung erhöht die Erfolgsquote des Angriffs erheblich.

Auch lesen:Malware vs Virus: Dinge, die wichtig sind zu lernen

Was ist DCRat und warum ist es gefährlich

, auch bekannt als , ist ein weit verbreiteter, auf .NET basierender Fernzugriffstrojaner und eine Variante von . Er wird als fertiges Malware-Toolkit verkauft und unterstützt eine pluginbasierte Architektur.

Sobald DCRat installiert ist, kann es:

• Log Tastenanschläge
• ```html

  Gestohlene Anmeldedaten und sensible Daten

  ```
• Führen Sie willkürliche Befehle aus

• Zusätzliche Malware-Payloads herunterladen

• Installieren Sie Kryptowährungs-Miner

• Halten Sie einen beständigen Zugriff aufrecht

Die Schadsoftware verbindet sich mit einem Kommando- und Kontrollserver und wartet auf Anweisungen, wodurch Angreifern langfristiger Zugriff auf kompromittierte Systeme gewährt wird.

Lebensstil der Erde Techniken in moderner Malware

Diese Kampagne ist ein Lehrbuchbeispiel für Techniken, die auf dem Prinzip „Living off the land“ basieren. Anstatt offensichtliche bösartige Binärdateien abzulegen, missbrauchen Angreifer vertrauenswürdige Systemwerkzeuge, die bereits auf Windows-Maschinen vorhanden sind.

Wesentliche missbrauchte Komponenten sind:

• PowerShell für die erste Ausführung
• MSBuild.exe für die Bereitstellung von Payloads
• Startup-Ordner für Beständigkeit
• Windows Defender-Ausschlüsse zur Umgehung

Durch die Verwendung dieser Tools verringern Angreifer ihre Spuren und erschweren die Erkennung erheblich.

Warum der Gastgewerbesektor ins Visier genommen wird

Forscher stellen fest, dass die Phishing-E-Mails die Preisgestaltung in Euro deutlich hervorheben, was stark auf einen Fokus auf europäische Organisationen hindeutet.

Hotels und Gastgewerbe sind besonders attraktive Ziele, weil:

• Mitarbeiter bearbeiten häufig die Kommunikationen von Booking.com.
• Die Empfangssysteme haben oft einen breiten Zugang.
• Die betriebliche Dringlichkeit erhöht die Klickrate
• Cybersecurity-Schulungen sind oft inkonsistent

Diese Faktoren machen Hotelmitarbeiter zu idealen Zielen für Social-Engineering-Angriffe.

Indikatoren für die Beteiligung russischer Bedrohungsakteure

Die Analyse der MSBuild-Projektdatei ergab russischsprachige Artefakte im Code. In Kombination mit der Verwendung von DCRat, das häufig mit russischsprachigen Cyberkriminellen in Verbindung gebracht wird, glauben Forscher, dass die Kampagne möglicherweise mit russischen Bedrohungsakteuren verknüpft ist.

Während die Attribution vorsichtig bleibt, stimmen die technischen Indikatoren mit den bekannten DCRat-Nutzungsmuster überein.

```html

Defensive Maßnahmen, die Organisationen ergreifen sollten

Organisationen im Gastgewerbe sollten diese Kampagne als Warnsignal betrachten.

Wichtige Verteidigungsschritte umfassen:

• ```html

  Blockieren der PowerShell-Ausführung für Nicht-Admin-Benutzer

  ```
• Überwachung der Nutzung von MSBuild.exe außerhalb von Entwicklungsumgebungen
• Durchsetzung einer strengen Anwendungsgenehmigungsliste
• Training-Mitarbeiter, niemals Befehle von Webseiten auszuführen
• Implementierung von phishing-resistenten E-Mail-Filterungen

Benutzerbewusstsein bleibt entscheidend, da der Angriff stark auf manuelle Ausführung angewiesen ist.

Abschließende Gedanken

Die gefälschte Blue Screen of Death-Malwarekampagne zeigt, wie Cyberkriminelle psychologische Manipulation mit tiefgreifendem technischen Wissen über Windows-Systeme kombinieren. Indem sie vertrauenswürdige Werkzeuge missbrauchen und die Benutzer davon überzeugen, selbst Befehle auszuführen, umgeht die Angreiferschaft mit alarmierendem Erfolg traditionelle Sicherheitskontrollen.

Für Hotels und Dienstleistungsunternehmen, die stark auf Drittanbieterplattformen wie Booking.com angewiesen sind, macht dieser Angriff die dringende Notwendigkeit sowohl technischer Schutzmaßnahmen als auch Schulungen für das Personal deutlich. Die Grenze zwischen legitimer Fehlersuche und böswilligen Anweisungen wird zunehmend verschwommen.

Auch lesen:

Was ist Lumma Malware? Auch Krypto-Wallet stehlen

Häufig gestellte Fragen (FAQs)

Was ist ein gefälschter Blue Screen of Death-Angriff?

Es handelt sich um eine Social-Engineering-Taktik, bei der Angreifer einen gefälschten Windows-Absturzbildschirm anzeigen, um Benutzer zu täuschen, sodass sie schädliche Befehle ausführen.

Warum werden Hotels in dieser Kampagne ins Visier genommen?

Hotels nutzen häufig Booking.com und kümmern sich um dringende Reservierungsprobleme, wodurch das Personal eher dazu neigt, Phishing-E-Mails zu vertrauen.

Welche Malware wird in diesem Angriff geliefert?

Der Angriff installiert DCRat, einen Remote-Access-Trojaner, der in der Lage ist, das gesamte System zu kompromittieren.

Wie umgeht die Malware die Erkennung durch Antiviren-Software?

Es missbraucht vertrauenswürdige Windows-Tools wie PowerShell und MSBuild und ändert die Ausschlüsse von Defender.

Wie können Organisationen sich gegen diesen Angriff schützen?

Die Einschränkung der PowerShell-Nutzung, die Überwachung der MSBuild-Aktivitäten und die Schulung des Personals, um zu vermeiden, Befehle von Websites auszuführen, sind wichtige Verteidigungsmaßnahmen.