ClickFix-Angriff

Fake-Bluescreens: Malware-Angriffe auf europäische Hotels

Hotelgewerbe, Gastgewerbe, IRM-NG, Booking-Engine
LinkedInRedditWhatsApp

Sicherheitsforscher warnen vor einer Angriffswelle auf die europäische Hotelbranche: Angreifer mit mutmaßlichen Verbindungen nach Russland schleusen Schadsoftware ein, indem sie Mitarbeiter dazu bringen, diese selbst zu installieren – getarnt als Fehlerbehebung nach einem vermeintlichen Windows-Bluescreen.

Wie das Sicherheitsunternehmen Securonix in einem diese Woche veröffentlichten Bericht darlegt, verfolgen die Analysten seit Monaten eine als PHALT#BLYX bezeichnete Angriffskampagne. Diese nutzt eine Variante der bekannten ClickFix-Angriffsmethode, die auf geschicktem Social Engineering basiert.

Anzeige

Der Ablauf ist simpel, aber wirkungsvoll: Hotelmitarbeiter erhalten E-Mails, die scheinbar von Booking.com stammen und vor angeblichen Stornierungen oder verdächtigen Abbuchungen in beträchtlicher Höhe warnen. Folgt das Personal dem Link “Details anzeigen”, landet es auf einer täuschend echt nachgebildeten Booking.com-Seite.

Vom Fake-Verifizierungsbildschirm zum Bluescreen

Statt Reservierungsinformationen erscheint zunächst ein gefälschter Verifizierungsbildschirm, der dann abrupt in einen vollformatigen Windows-Bluescreen übergeht. Diese nachgeahmte Fehlermeldung soll die Opfer in Panik versetzen und dazu bewegen, den vermeintlichen Fehler durch eine Reihe von Schritten selbst zu beheben.

Am Ende dieser Schritte steht das Einfügen und Ausführen eines bösartigen PowerShell-Befehls, das klassische Kennzeichen eines ClickFix-Angriffs. Da die Betroffenen den Code selbst ausführen, umgehen die Angreifer viele automatisierte Sicherheitsmechanismen, die herkömmliche Malware-Downloads blockieren würden.

Anzeige

Fortgeschrittene Infektionskette

Nach der Ausführung des Befehls lädt das System im Hintergrund weitere Dateien nach und nutzt legitime Windows-Komponenten zur Code-Ausführung. Dadurch fügt sich die Schadsoftware in normale Systemaktivitäten ein und entgeht Sicherheitstools. Das Endergebnis ist die Installation eines Remote-Access-Trojaners, der den Angreifern dauerhafte Kontrolle über das kompromittierte System verschafft und ihnen ermöglicht, Aktivitäten auszuspähen und weitere Schadsoftware nachzuladen.

Die Sicherheitsforscher beobachten, dass die Angreifer ihre Infektionskette über mehrere Monate hinweg weiterentwickelt haben. Sie sind von einfacheren HTML-Application-Techniken zu einer ausgefeilteren MSBuild-basierten Ausführung übergegangen, was die Erkennung durch herkömmliche Antivirenprogramme deutlich erschwert.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Russische Spuren

Die Fokussierung auf Euro-Beträge und die gezielte Ansprache von Unternehmen der Hotelbranche während der geschäftigen Urlaubssaison deuten auf eine Kampagne hin, die sich gezielt an europäische Firmen richtet. Zusätzliche Artefakte in den MSBuild-Projektdateien weisen auf russischsprachige Nutzer hin. Die verwendete DCRat-Malware-Familie wird zudem häufig in russischsprachigen Underground-Foren gehandelt, was den Verdacht einer russischen Urheberschaft verstärkt.


Lars

Becker

Redakteur

IT Verlag GmbH

Anzeige
One Time Password (OTP)
8. Januar 2026
Was ist ein OTP (One-Time Password)?
Bundesgerichtshof
8. Januar 2026
Mindestlaufzeit: BGH kippt Klausel bei Glasfaser-Verträgen
Notaufnahme
8. Januar 2026
Hackerangriff auf Kreisklinik Roth – Notaufnahme geschlossen
Google Cloud
8. Januar 2026
Check Point unterstützt Google Cloud Network Security Integration

Weitere Artikel

Mindestlaufzeit: BGH kippt Klausel bei Glasfaser-Verträgen
Hackerangriff auf Kreisklinik Roth – Notaufnahme geschlossen
Wintereinbruch: Wenn Kälte dem Smartphone zusetzt
Jaguar Land Rover-Auslieferungen nach Hackerangriff eingebrochen
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.