Uma nova campanha de malware que visa funcionários de hotéis e hospitalidade em toda a Europa está explorando páginas falsas da Tela Azul da Morte do Windows para entregar um potente trojan de acesso remoto. O ataque combina e-mails de phishing, engenharia social e ferramentas confiáveis do Windows para contornar as defesas modernas de endpoints.

Pesquisadores dizem que a campanha, rastreada como PHALT#BLYX, se disfarça de e-mails de reserva do Booking.com e engana as vítimas a executar comandos maliciosos manualmente. O que torna essa operação especialmente perigosa é sua dependência de técnicas de viver das terras, que abusam de componentes legítimos do Windows em vez de carregadores de malware tradicionais.

O resultado é o implantação furtiva do DCRat, um conhecido trojan de acesso remoto capaz de comprometer completamente o sistema.

Principais Conclusões

• Emails no estilo Fake Booking estão visando funcionários de hotéis em toda a Europa.
• As vítimas são redirecionadas para páginas falsas de recuperação da Tela Azul da Morte.
• Os usuários são enganados a executar comandos PowerShell maliciosos.
• O malware utiliza o MSBuild para evadir a detecção de antivírus.
• DCRat permite controle remoto total e roubo de dados
• A campanha abusa fortemente de ferramentas confiáveis do Windows

Como o Ataque de E-mail Falso de Reserva Começa

O ataque começa com um email de phishing projetado para parecer uma mensagem oficial do Booking.com. Esses emails alertam a equipe do hotel sobre cancelamentos inesperados de reservas e pedem ação imediata.

As mensagens geralmente incluem:

• Detalhes da reserva e cobrança de quarto listados em Euros
• Um senso de urgência ligado à confirmação de cancelamento
• Um link clicável que afirma redirecionar para o Booking.com

Uma vez clicado, o link envia as vítimas para um site fraudulento que imita visualmente a interface do Booking.com.

Leia Também: Um Guia para Remover e Detectar Malware de Criptomoeda

CAPTCHA falso e Engenharia Social de Tela Azul

Após aterrissar na página falsa de Booking, as vítimas são apresentadas a um desafio de CAPTCHA falso. Essa etapa foi projetada para reduzir a suspeita e aumentar a confiança antes da entrega do payload final.

Após completar o CAPTCHA, o usuário é redirecionado para uma página falsa da Tela Azul da Morte do Windows. A página alega que o sistema encontrou um erro crítico e fornece instruções de recuperação passo a passo.

Estas instruções dizem ao usuário para:

• Abra o diálogo Executar do Windows
• Cole um comando mostrado na tela
• Pressione Enter para corrigir o problema

Na realidade, o comando executa um script PowerShell malicioso.

Abuso de PowerShell e MSBuild explicado

Uma vez executado, o comando PowerShell inicia um processo de infecção em múltiplas etapas. O script baixa um arquivo de projeto MSBuild especialmente elaborado de um servidor remoto e o executa usando o MSBuild.exe, uma ferramenta de desenvolvimento legítima da Microsoft.

Esta técnica é especialmente perigosa porque o MSBuild é um binário confiável do Windows que frequentemente ignora alertas de segurança.

O arquivo do projeto MSBuild realiza várias ações:

• Baixa o payload do DCRat
• Adiciona exclusões do Microsoft Defender
• Estabelece persistência via a pasta de Inicialização
• Lança o malware silenciosamente

Se o malware for executado com privilégios de administrador, ele pode desativar completamente o Windows Defender.

Táticas Agressivas de Bypass de UAC e Fadiga do Usuário

Se as permissões de administrador não estiverem disponíveis, o malware não falha imediatamente. Em vez disso, ele aciona repetidamente os prompts do Controle de Conta de Usuário do Windows.

O objetivo é explorar a fadiga do usuário. Ao exibir pedidos de permissão repetidos a cada poucos segundos, os atacantes esperam que as vítimas acabem aprovando o pedido por frustração.

Esta tática destaca como a engenharia social continua sendo um dos pontos mais fracos na segurança de endpoints.

Técnicas de Distração para Evitar Suspeitas

Para reduzir ainda mais a suspeita, o script PowerShell abre a página administrativa real do Booking.com no navegador padrão após a execução.

Isso cria a ilusão de que a ação do usuário era legítima e relacionada à sua tarefa original. Enquanto isso, a instalação do malware continua em segundo plano sem sinais visíveis.

Esta combinação de engano e distração aumenta significativamente a taxa de sucesso do ataque.

Leia Também: Malware vs Vírus: Coisas Importantes para Aprender

O que é DCRat e por que é perigoso

DCRat é uma ferramenta de acesso remoto que permite aos atacantes controlar dispositivos comprometidos. Essa ameaça é considerada perigosa devido à sua capacidade de roubar informações sensíveis, instalar malware adicional e executar comandos remotamente.

Além disso, o DCRat pode ser utilizado para monitorar atividades online, gravar áudio e vídeo, e até mesmo capturar senhas. Com frequência, ele é disseminado através de e-mails de phishing e downloads maliciosos, tornando-se essencial que os usuários mantenham seus sistemas atualizados e utilizem medidas de segurança robustas.

DCRat, também conhecido como DarkCrystal RAT, é um cavalo de Troia de acesso remoto amplamente utilizado, baseado em .NET e uma variante do AsyncRAT. Ele é vendido como um kit de ferramentas de malware pronto para uso e suporta uma arquitetura baseada em plugins.

Uma vez instalado, o DCRat pode:

• Registrar pressionamentos de tecla
• Roubar credenciais e dados sensíveis
• Execute comandos arbitrários
• Baixar cargas úteis de malware adicionais
• Instale mineradores de criptomoeda
• Manter acesso persistente

O malware se conecta de volta a um servidor de comando e controle e aguarda instruções, permitindo que os atacantes tenham acesso a longo prazo a sistemas comprometidos.

Técnicas de Viver da Terra em Malware Moderno

Esta campanha é um exemplo clássico de técnicas de viver da terra. Em vez de lançar binários maliciosos óbvios, os atacantes abusam de ferramentas de sistema confiáveis já presentes em máquinas Windows.

Os principais componentes abusados incluem:

• PowerShell para execução inicial
• MSBuild.exe para entrega de payload
• Pastas de inicialização para persistência
• Exclusões do Windows Defender para evasão

Ao utilizar essas ferramentas, os atacantes reduzem sua pegada e tornam a detecção significativamente mais difícil.

Por que o Setor de Hospitalidade Está Sendo Alvo

Os pesquisadores observam que os e-mails de phishing apresentam em destaque preços em Euros, sugerindo fortemente um foco em organizações europeias.

Os hotéis e negócios de hospitalidade são alvos particularmente atraentes porque:

• A equipe frequentemente cuida das comunicações do Booking.com.
• Os sistemas de recepção frequentemente têm acesso amplo.
• A urgência operacional aumenta as taxas de cliques
• O treinamento em cibersegurança é frequentemente inconsistente.

Esses fatores tornam os funcionários de hotéis alvos ideais para ataques de engenharia social.

Indicadores de Envolvimento de Atores Ameaçadores Russos

A análise do arquivo de projeto MSBuild revelou artefatos da língua russa dentro do código. Combinado com o uso do DCRat, que é comumente associado a cibercriminosos de fala russa, os pesquisadores acreditam que a campanha pode estar ligada a atores de ameaça russos.

Enquanto a atribuição permanece cautelosa, os indicadores técnicos se alinham com os padrões de uso conhecidos do DCRat.

Medidas de Defesa que as Organizações Devem Tomar

As organizações do setor de hospitalidade devem tratar esta campanha como um sinal de alerta.

As etapas defensivas principais incluem:

• Bloqueando a execução do PowerShell para usuários não administradores
• Monitorando o uso do MSBuild.exe fora de ambientes de desenvolvimento
• Aplicando uma lista restrita de aplicativos permitidos
• Treinando a equipe para nunca executar comandos a partir de páginas da web
• Implementando um filtro de email resistente a phishing

A conscientização do usuário permanece crítica, uma vez que o ataque depende fortemente da execução manual.

Considerações Finais

A falsa campanha de malware Blue Screen of Death mostra como os cibercriminosos estão misturando manipulação psicológica com um profundo conhecimento técnico dos sistemas Windows. Ao abusar de ferramentas confiáveis e convencer os usuários a executar comandos por conta própria, os atacantes estão contornando os controles de segurança tradicionais com um sucesso alarmante.

Para hotéis e empresas de serviços que dependem fortemente de plataformas de terceiros como o Booking.com, este ataque destaca a necessidade urgente tanto de salvaguardas técnicas quanto de treinamento para a equipe. A linha entre solução legítima de problemas e instrução maliciosa está se tornando cada vez mais tênue.

Leia Também:  O que é o Malware Lumma?

FAQs

O que é um ataque de falsa Tela Azul da Morte?

É uma tática de engenharia social onde os atacantes exibem uma tela de erro falsa do Windows para enganar os usuários a executar comandos maliciosos.

Por que os hotéis estão sendo alvo nesta campanha?

Os hotéis costumam usar o Booking.com e lidam com problemas urgentes de reservas, tornando o pessoal mais propenso a confiar em e-mails de phishing.

Qual malware é entregue neste ataque?

O ataque instala o DCRat, um Trojan de acesso remoto capaz de comprometer completamente o sistema.

Como o malware evita a detecção de antivírus?

Ele abusa de ferramentas confiáveis do Windows, como PowerShell e MSBuild, e modifica as exclusões do Defender.

Como as organizações podem se proteger contra esse ataque?

Limitar o uso do PowerShell, monitorar a atividade do MSBuild e treinar a equipe para evitar a execução de comandos de sites são defesas principais.