O campanie de phishing destinată hotelurilor și altor companii din sectorul ospitalității din Europa utilizează o metodă extrem de eficientă: afișarea unui „Ecran albastru al morții” (BSOD) fals, în modul full-screen, menit să inducă panică și să determine angajații să execute comenzi malițioase involuntar. În loc să forțeze descărcări automate ușor de blocat de programele de securitate, atacatorii se bazează pe tehnici de inginerie socială: te sperie, îți oferă pași clar definiți pentru remediere și te conving să apeși pe butoanele care le facilitează accesul.
Cercetători de securitate de la Securonix au detectat campania sub denumirea PHALT#BLYX și au descris-o ca o variantă a tehnicii ClickFix, unde utilizatorul este ghidat să copieze și să ruleze un script (de regulă PowerShell) pentru a „repara” o eroare. Scenariul final, conform analizelor multiple, este instalarea unui scurtcircuit de acces la distanță (RAT), DCRat, ce le permite atacatorilor un control persistent asupra sistemului compromis.
Cum funcționează capcana: de la „Booking.com” la BSOD-ul de panică
Lanțul atacului începe simplu: un angajat primește un email aparent legat de o rezervare, de cele mai multe ori despre o anulare sau o sumă mare în euro. Mesajul este creat ca să grăbească reacția: se află într-o tură, este presat de trafic, iar suma suspectă impulsionează verificarea rapidă a detaliilor. Link-ul din email duce către o pagină care imită un flux legitim, dar în loc de informații reale, apar pași pentru „verificare” care se transformă rapid într-un BSOD fals, vizibil pe întreg ecranul. 
BSOD-ul reprezintă componenta psihologică a atacului. Sistemul de operare Windows „pare” că a cedat, iar utilizatorul are senzația că a făcut o greșeală (a deschis linkul), generând o soluție de remediere. În această etapă, pagina oferă instrucțiuni pentru rezolvare, care în esență îndeamnă la copierea și rularea unei comenzi PowerShell. Executarea manuală a acesteia ocolește mecanismele automate ce blochează descărcările și fișierele suspecte provenite din browser, transformând utilizatorul din victimă în „instalator”.
De ce reprezintă un pericol: evitarea filtrelor și ascunderea în instrumente legitime
După ce comanda PowerShell este executată, atacul continuă în mod „cesionar” pentru sistem: descarcă fișiere adiționale și utilizează componente reale ale Windows, precum MSBuild, pentru a face activitatea malițioasă să pară normală și pentru a reduce riscul de detectare, față de metode mai vechi și mai evidente. Aceasta tactică face ca activitatea să fie mai dificil de identificat de soluțiile de securitate.
Obiectivul final este instalarea unui RAT (DCRat). Un RAT nu este doar un virus: reprezintă o unealtă de control extrem de puternică, ce permite acces persistent, supraveghere a activităților, mutații laterale în rețea și livrare de componente suplimentare, precum furt de date sau ransomware, în funcție de intențiile infractorilor. În sectorul hotelier, această vulnerabilitate devine critică, deoarece acestea gestionează informații operaționale, e-mailuri, rezervări, documente interne și pot avea integrare cu sisteme de plăți sau alte entități externe.
Mai grav, atacul profită de reacțiile naturale ale angajaților către situații urgenta. În perioade aglomerate, când apar notificări despre anulări, sume mari sau erori de sistem, impulsul este de a acționa rapid pentru a evita blocarea serviciilor. Astfel, scenariul atacului este adaptat ritmului industriei: perioade cu volum crescut de activitate, multiple emailuri și situații considerate urgente.
Semne despre autori și motivele pentru care ospitalitatea reprezintă o țintă prioritară
Rapoartele de securitate indică posibile legături cu actori vorbitori de limba rusă, bazate pe artefacte lingvistice în fișiere și pe faptul că familia DCRat este frecvent tranzacționată pe forumuri clandestine din Rusia, ceea ce sugerează o posibilă origine sau apartenență la un ecosistem infracțional de acest tip. Totuși, aceste indicii nu reprezintă o „semnătură” definitivă, întrucât în domeniul cyber, imitarea și reutilizarea sunt frecvente, iar atribuirea precisă necesită date suplimentare concrete.
De ce hoteluri? Pentru că acestea reprezintă noduri de informație și capital, fiind supuse unui volum foarte mare de trafic: emailuri continue, comunicare cu platforme de rezervări, personal sezonier, turnover frecvent, multiple terminale și situații de urgență în care „trebuie să funcționeze acum”. În plus, atacatorii știu că un incident ce blochează activitățile de recepție sau sistemele de rezervări se traduce nu doar într-o problemă tehnică, ci într-o criză operațională majoră, iar atunci când se dorește operare neîntreruptă, angajații tind să sară peste pași de siguranță.
Cum te protejezi: măsuri simple pentru prevenirea atacurilor
În sectorul hotelier sau în domeniul ospitalității, orice email de rezervare care grăbește procedurile și solicită clic pe «detalii» sau alte butoane similare trebuie considerat cu prudență, mai ales dacă te îndeamnă să furnizezi informații financiare sau să descarci fișiere. Verifică cu atenție expeditorul real, nu doar numele afișat, și caută semne de domenii suspecte. Pentru siguranță, nu accesa link-urile din emailuri, ci utilizează poate platforma internă sau portalul verificat pentru consolidarea informațiilor. În cazul afișării unui BSOD sau a unei erori în browser care solicită rularea de comenzi, oprește imediat activitatea. Nu există scenarii legitime în care o pagină web îți cere să rulezi un PowerShell pentru a remedia Windows. În cazul dubiului, închide browserul, deconectează-te de la rețea dacă este posibil, informează departamentul IT și documentează situația (subiect email, ora, capturi).
Atunci când se întâlnește un atac de tip ClickFix, răbdarea și vigilenta sunt cele mai eficiente instrumente. Prin reducerea rapidă a riscurilor, cum ar fi filtrarea mai severă a tentativelor de phishing, restricționarea utilizării PowerShell și monitorizarea executărilor suspecte, se pot preveni incidente grave. În plus, efectuarea periodică de exerciții practice și training-uri bazate pe situații reale ajută personalul să recunoască și să reacționeze corect în fața unor scenarii similare.
