Una nueva campaña de malware que tiene como objetivo al personal de hoteles y hostelería en toda Europa está explotando páginas falsas de la Pantalla Azul de la Muerte de Windows para entregar un potente troyano de acceso remoto. El ataque combina correos electrónicos de phishing, ingeniería social y herramientas de Windows de confianza para eludir las defensas modernas de puntos finales.

Los investigadores dicen que la campaña, rastreada como PHALT#BLYX, se hace pasar por correos electrónicos de reservas de Booking.com y engaña a las víctimas para que ejecuten manualmente comandos maliciosos. Lo que hace que esta operación sea especialmente peligrosa es su dependencia de técnicas de vivir de la tierra que abusan de componentes legítimos de Windows en lugar de cargadores de malware tradicionales.

El resultado es el despliegue sigiloso de DCRat, un conocido troyano de acceso remoto capaz de comprometer todo el sistema.

Conclusiones Clave

• Los correos electrónicos falsos al estilo de Booking están atacando al personal de hoteles en toda Europa.
• Las víctimas son redirigidas a páginas de recuperación falsas de la Pantalla Azul de la Muerte.
• Los usuarios son engañados para ejecutar comandos maliciosos de PowerShell
• El malware utiliza MSBuild para evadir la detección de antivirus.
• DCRat permite el control remoto completo y el robo de datos
• La campaña utiliza en gran medida herramientas de Windows de confianza.

Cómo Comienza el Ataque del Correo Electrónico de Reserva Falsa

El ataque comienza con un correo electrónico de phishing diseñado para parecerse a un mensaje oficial de Booking.com. Estos correos advierten al personal del hotel sobre cancelaciones inesperadas de reservas y urgentes medidas a tomar.

Los mensajes típicamente incluyen:

• Detalles de la reserva y cargo por habitación listados en euros
• Una sensación de urgencia relacionada con la confirmación de cancelación
• Un enlace clicable que afirma redirigir a Booking.com

Una vez que se hace clic, el enlace envía a las víctimas a un sitio web fraudulento que imita visualmente la interfaz de Booking.com.

Leer también:Guía para eliminar y detectar malware de criptomonedas

Fake CAPTCHA y Ingeniería Social de Pantalla Azul

Después de aterrizar en la página falsa de Booking, las víctimas se presentan con un desafío de CAPTCHA falso. Este paso está diseñado para disminuir la sospecha y construir confianza antes de la entrega final de la carga útil.

Al completar el CAPTCHA, el usuario es redirigido a una página falsa de la Pantalla Azul de la Muerte de Windows. La página afirma que el sistema ha encontrado un error crítico y proporciona instrucciones de recuperación paso a paso.

Estas instrucciones le indican al usuario que:

• Abre el cuadro de diálogo Ejecutar de Windows
• Pega un comando mostrado en la pantalla
• Presiona Enter para solucionar el problema

En realidad, el comando lanza un script malicioso de PowerShell.

Abuso de PowerShell y MSBuild Explicado

Una vez ejecutado, el comando de PowerShell inicia un proceso de infección de múltiples etapas. El script descarga un archivo de proyecto MSBuild especialmente diseñado desde un servidor remoto y lo ejecuta utilizando MSBuild.exe, una herramienta de desarrollo legítima de Microsoft.

Esta técnica es especialmente peligrosa porque MSBuild es un binario de Windows de confianza que a menudo elude las alertas de seguridad.

El archivo de proyecto MSBuild realiza varias acciones:

• Descarga la carga útil de DCRat
• Añade exclusiones de Microsoft Defender
• Establece la persistencia a través de la carpeta de Inicio
• Inicia el malware en silencio

Si el malware se ejecuta con privilegios de administrador, puede deshabilitar por completo Windows Defender.

Tácticas agresivas de elusión de UAC y fatiga del usuario

Si no están disponibles los privilegios de administrador, el malware no falla inmediatamente. En su lugar, activa repetidamente los mensajes del Control de Cuentas de Usuario de Windows.

El objetivo es aprovechar la fatiga del usuario. Al mostrar solicitudes de permisos repetidas cada pocos segundos, los atacantes esperan que las víctimas eventualmente aprueben la solicitud por frustración.

Esta táctica destaca cómo la ingeniería social sigue siendo uno de los puntos más débiles en la seguridad de los puntos finales.

Técnicas de Distracción para Evitar Sospechas

Para reducir aún más las sospechas, el script de PowerShell abre la verdadera página de administración de Booking.com en el navegador predeterminado después de su ejecución.

Esto crea la ilusión de que la acción del usuario fue legítima y relacionada con su tarea original. Mientras tanto, la instalación del malware continúa en segundo plano sin signos visibles.

Esta combinación de engaño y distracción aumenta significativamente la tasa de éxito del ataque.

Lea también: Malware vs Virus: Cosas que es Importante Aprender

¿Qué es DCRat y por qué es peligroso?

DCRat, también conocido como DarkCrystal RAT, es un troyano de acceso remoto basado en .NET de uso común y una variante de AsyncRAT. Se vende como un kit de herramientas de malware listo para usar y admite una arquitectura basada en plugins.

Una vez instalado, DCRat puede:

• Registrar pulsaciones de teclas
• Robar credenciales y datos sensibles
• Ejecutar comandos arbitrarios
• Descargar cargas útiles de malware adicionales
• Instalar mineros de criptomonedas
• Mantener acceso persistente

El malware se conecta de vuelta a un servidor de comando y control y espera instrucciones, dando a los atacantes acceso a largo plazo a sistemas comprometidos.

Esta campaña es un ejemplo clásico de técnicas de vivir de la tierra. En lugar de lanzar binarios maliciosos obvios, los atacantes abusan de las herramientas del sistema de confianza ya presentes en las máquinas con Windows.

Los componentes clave abusados incluyen:

• PowerShell para la ejecución inicial
• MSBuild.exe para la entrega de carga útil
• Carpetas de inicio para persistencia
• Exclusiones de Windows Defender para evasión

Al usar estas herramientas, los atacantes reducen su huella y hacen que la detección sea significativamente más difícil.

¿Por qué se está atacando al sector de la hospitalidad?

Los investigadores señalan que los correos electrónicos de phishing presentan de manera prominente precios en euros, lo que sugiere fuertemente un enfoque en organizaciones europeas.

Los hoteles y negocios de hospitalidad son objetivos particularmente atractivos porque:

• El personal maneja frecuentemente las comunicaciones de Booking.com.
• Los sistemas de recepción a menudo tienen acceso amplio.
• La urgencia operativa aumenta las tasas de clics.
• El entrenamiento en ciberseguridad a menudo es inconsistente.

Estos factores hacen que los empleados de hoteles sean objetivos ideales para ataques de ingeniería social.

Indicadores de la participación de actores de amenazas rusos

El análisis del archivo del proyecto MSBuild reveló artefactos en ruso dentro del código. Junto con el uso de DCRat, que se asocia comúnmente con ciberdelincuentes de habla rusa, los investigadores creen que la campaña puede estar vinculada a actores de amenaza rusos.

Mientras la atribución se mantiene cautelosa, los indicadores técnicos se alinean con los patrones de uso conocidos de DCRat.

Medidas Defensivas que las Organizaciones Deben Tomar

Las organizaciones en el sector de la hospitalidad deberían tratar esta campaña como una señal de alerta.

Los pasos defensivos clave incluyen:

• Bloqueando la ejecución de PowerShell para usuarios que no son administradores
• Monitoreo del uso de MSBuild.exe fuera de los entornos de desarrollo
• Imponiendo un estricto blanqueo de aplicaciones
• Entrenando al personal para que nunca ejecute comandos desde páginas web
• Implementación de filtros de correo electrónico resistentes al phishing

La concienciación del usuario sigue siendo crítica, ya que el ataque depende en gran medida de la ejecución manual.

Últimos Pensamientos

La falsa campaña de malware de la Pantalla Azul de la Muerte muestra cómo los cibercriminales están combinando la manipulación psicológica con un profundo conocimiento técnico de los sistemas Windows. Al abusar de herramientas de confianza y convencer a los usuarios para que ejecuten comandos ellos mismos, los atacantes están eludiendo los controles de seguridad tradicionales con un éxito alarmante.

Para hoteles y negocios de servicios que dependen en gran medida de plataformas de terceros como Booking.com, este ataque resalta la necesidad urgente de tanto salvaguardias técnicas como de capacitación del personal. La línea entre la solución de problemas legítima y la instrucción maliciosa se está volviendo cada vez más difusa.

Leer también:¿Qué es el malware Lumma? También roba billeteras de criptomonedas.

¿Qué es un ataque de pantalla azul de la muerte falsa?

Es una táctica de ingeniería social donde los atacantes muestran una pantalla de error falsa de Windows para engañar a los usuarios y hacer que ejecuten comandos maliciosos.

¿Por qué se están targeting los hoteles en esta campaña?

Los hoteles utilizan con frecuencia Booking.com y manejan problemas urgentes de reservas, lo que hace que el personal sea más propenso a confiar en correos electrónicos de phishing.

¿Qué malware se entrega en este ataque?

El ataque instala DCRat, un troyano de acceso remoto capaz de comprometer completamente el sistema.

¿Cómo evaden los programas maliciosos la detección de antivirus?

Abusa de herramientas confiables de Windows como PowerShell y MSBuild y modifica las exclusiones de Defender.

¿Cómo pueden las organizaciones protegerse contra este ataque?

Limitar el uso de PowerShell, monitorear la actividad de MSBuild y capacitar al personal para evitar la ejecución de comandos desde sitios web son defensas clave.