Fake-Bluescreens: Malware-Angriffe auf europäische Hotels

Datensicherheit

Die europäische Hotelbranche steht aktuell im Fokus einer besonders perfiden Cyberkampagne. Mehrere Sicherheitsforscher warnen vor Angriffen, bei denen Mitarbeitende selbst zur Installation von Schadsoftware verleitet werden – ausgelöst durch einen gefälschten Windows-Bluescreen. Die Angreifer setzen dabei auf ausgefeiltes Social Engineering statt auf klassische Malware-Downloads.

Im Zentrum der Beobachtungen steht eine Kampagne mit dem Namen PHALT#BLYX, die laut Analysen des Sicherheitsunternehmens Securonix seit Monaten aktiv ist. Ziel sind vor allem Hotels und andere Akteure des Gastgewerbes in Europa.

 

Ein neuer Twist auf bekannte Angriffsmuster

Der Angriff nutzt eine Variante der sogenannten ClickFix-Methode. Anders als bei klassischen Phishing-Kampagnen werden Nutzer hier nicht nur zum Klicken, sondern zu aktiven Systemeingriffen verleitet. Das macht die Methode besonders gefährlich, da viele technische Schutzmechanismen umgangen werden.

Ausgangspunkt ist der Missbrauch der Marke Booking.com, die im Hotelalltag allgegenwärtig ist und daher hohes Vertrauen genießt.
 

Überblick: Die Infektionskette

Die Infektion verläuft mehrstufig und ist technisch wie psychologisch ausgefeilt:

  1. Phishing-E-Mail
    Eine täuschend echte E-Mail informiert über die Stornierung einer Reservierung und nennt einen ungewöhnlich hohen Betrag (z. B. 1.004,38 €). Ziel ist es, Stress und Handlungsdruck zu erzeugen.
  2. Weiterleitung auf eine gefälschte Buchungsseite
    Der Button „Details ansehen“ führt nicht zu Booking.com, sondern über eine Zwischenseite auf eine schädliche Domain.
  3. ClickFix-Social-Engineering
    Die gefälschte Seite zeigt eine angebliche Browser-Fehlermeldung („Das Laden dauert zu lange“) mit einem „Seite aktualisieren“-Button – kein echtes Browser-Element, sondern manipuliertes HTML.
  4. Gefälschter Bluescreen (BSOD)
    Nach dem Klick wechselt der Browser in den Vollbildmodus und simuliert einen Windows-Absturz. Das Opfer glaubt, das System sei ernsthaft beschädigt.
  5. Zwischenablage-Injektion & PowerShell-Dropper
    Unbemerkt wird ein schädlicher PowerShell-Befehl in die Zwischenablage kopiert. Das Opfer wird angewiesen, ihn über Windows + R selbst auszuführen – die Malware installiert sich damit quasi „freiwillig“.

Der Köder: Vertrauen und Dringlichkeit

Der Missbrauch von Booking.com ist kein Zufall. Cyberkriminelle haben bereits in der Vergangenheit Hotelkonten kompromittiert, um Gäste oder Hotelbetreiber direkt anzuschreiben – etwa mit angeblichen Sonderwünschen oder Zahlungsproblemen.

Neu an PHALT#BLYX ist jedoch die Art des Auslösers: Statt eines direkten Malware-Downloads wird der Nutzer Schritt für Schritt dazu gebracht, selbst aktiv zu werden. Genau hier liegt die Stärke – und Gefahr – dieser Kampagne.


Technische Raffinesse hinter den Kulissen

Nach der Ausführung des PowerShell-Befehls nutzt die Malware ausschließlich legitime Windows-Komponenten, etwa MSBuild.exe, um ihren Code auszuführen. Sicherheitslösungen, die primär auf Dateisignaturen setzen, werden so effektiv umgangen.

  • Weitere Merkmale der Kampagne:
  • Deaktivierung von Windows Defender
  • Persistenz über Autostart-Einträge
  • Einschleusen der finalen Schadsoftware in legitime Prozesse
  • Aufbau einer stabilen Command-and-Control-Infrastruktur mit hoher Ausfallsicherheit

Die beobachteten russischsprachigen Artefakte in Skripten und Konfigurationsdateien liefern zudem Hinweise auf die Herkunft der Angreifer.


Warum PHALT#BLYX so gefährlich ist

Der eigentliche Paradigmenwechsel liegt nicht in der Malware selbst, sondern im Angriffsdesign:
    •    Der Nutzer wird vom Opfer zum Mitwirkenden gemacht
    •    Sicherheitskontrollen werden durch legitime Bordmittel umgangen
    •    Psychologischer Druck ersetzt technische Exploits

Diese Kombination macht PHALT#BLYX zu einer Blaupause für zukünftige Angriffe – nicht nur im Hotelgewerbe, sondern auch in anderen Branchen.


Empfehlungen für Unternehmen und Hotels
  1. Sensibilisierung gegen ClickFix-Angriffe
    Schulen Sie Mitarbeitende gezielt darauf, niemals Skriptbefehle aus Browsermeldungen heraus zu kopieren oder im Windows-Ausführen-Dialog einzufügen. Ein echter Bluescreen fordert keine manuellen Eingaben.
  2. Phishing-Awareness stärken
    Behandeln Sie E-Mails mit Zahlungsbezug oder Stornierungen grundsätzlich kritisch. Rufen Sie Buchungen ausschließlich über bekannte, manuell eingegebene URLs oder offizielle Apps auf.
  3. Technische Maßnahmen ergänzen
    Setzen Sie neben klassischer Malware-Erkennung auf verhaltensbasierte Analyse, Prozess-Monitoring und die Nachverfolgung ungewöhnlicher Systemaktivitäten.

Quelle:https://www.hotellerie.de/news/warnungen
 

Haben Sie Fragen zur Datensicherheit oder möchten Ihren Betrieb im Bereich Nachhatigkeit oder Digitalisierung anders aufstellen?
Hier klicken und starten!

Ansprechpartner: Robert Krause, Transformationscoach

Zurück
Ansprechpartner: Robert Krause, Transformationscoach