Investigadores de Securonix han identificado una sofisticada campaña ClickFix denominada PHALT#BLYX, específicamente dirigida al sector hotelero europeo. Los atacantes se hacen pasar por Booking.com y utilizan una convincente simulación de «pantallazo azul de la muerte» (BSOD) dentro del propio navegador para convencer al personal de hotel de que ejecute comandos de PowerShell y así instalar el remote access trojan (RAT) DCRAT.
Qué es ClickFix: ingeniería social en lugar de exploits
Las campañas ClickFix no dependen de vulnerabilidades técnicas, sino de la manipulación del usuario. El objetivo es guiar a la víctima, paso a paso, hasta lograr que sea ella misma quien copie y ejecute un comando malicioso, normalmente en PowerShell o en una consola de comandos. Desde la óptica del sistema, la acción la inicia un usuario legítimo, lo que dificulta el trabajo de soluciones antivirus y EDR basadas en firmas o en reglas simples.
Esta técnica encaja con una tendencia ampliamente documentada: según el Verizon Data Breach Investigations Report, alrededor del 70–75 % de los incidentes de seguridad implican el factor humano, ya sea a través de phishing, uso indebido de credenciales o errores. ClickFix combina ingeniería social, páginas web fraudulentas y presión psicológica para aumentar la tasa de éxito de los atacantes en redes corporativas.
Phishing que suplanta a Booking.com y gancho del «reembolso elevado»
La cadena de ataque PHALT#BLYX comienza con un correo de phishing que imita notificaciones oficiales de Booking.com sobre la cancelación de una reserva. En el mensaje se informa de un supuesto reembolso superior a 1 000 euros, una cifra suficiente para llamar la atención de empleados de recepción o administración y motivarles a revisar los detalles del caso.
Al hacer clic en el enlace, la víctima es redirigida al dominio low-house[.]com, donde se aloja una copia muy lograda del portal de Booking.com. Se reproducen la paleta de colores corporativa, logotipos y estructura visual, lo que facilita que el engaño supere una revisión superficial, especialmente en entornos con alta carga de trabajo como la recepción de un hotel.
Falso pantallazo azul en el navegador para forzar el uso de PowerShell
En esta web fraudulenta se ejecuta un script JavaScript malicioso. Primero muestra un mensaje de que la carga está tardando demasiado («Loading is taking too long») y ofrece un botón para recargar o continuar. Al pulsarlo, el navegador pasa a pantalla completa y su contenido se sustituye por una imitación muy realista del BSOD de Windows.
A diferencia de un pantallazo azul real, esta versión falsa incluye instrucciones detalladas de «recuperación»: se indica al usuario que abra la ventana «Ejecutar», pulse Ctrl+V (la página ya ha colocado previamente un comando de PowerShell en el portapapeles) y confirme la ejecución. Para personal no técnico, este procedimiento puede interpretarse como una rutina legítima de soporte técnico.
Cadena técnica de infección: MSBuild, BITS y despliegue de DCRAT
Abuso de MSBuild y proyecto .NET para cargar el malware
Tras ejecutarse el comando de PowerShell, se muestra una falsa consola administrativa de Booking.com para distraer a la víctima, mientras en segundo plano el script descarga un proyecto .NET (v.proj) y lo compila mediante la herramienta legítima de Windows MSBuild.exe. Este uso de componentes nativos dificulta la detección, ya que el flujo parece una actividad normal de desarrollo o administración.
Modificación de Defender, persistencia y descarga del cargador principal
Una vez obtenido el control inicial, el código malicioso añade excepciones en Microsoft Defender, solicita elevación de privilegios vía UAC y utiliza el servicio BITS (Background Intelligent Transfer Service) para descargar el loader principal. La persistencia se consigue mediante un archivo .url alojado en la carpeta de inicio automático del usuario, asegurando la ejecución del malware en cada inicio de sesión.
Instalación del troyano DCRAT y ocultación con process hollowing
La carga útil final es DCRAT, un fork de AsyncRAT ampliamente empleado en botnets criminales. Este RAT se inyecta en el proceso legítimo aspnet_compiler.exe mediante process hollowing: el contenido legítimo del proceso se reemplaza por código malicioso que se ejecuta directamente en memoria, reduciendo la huella en disco y complicando el análisis por parte de soluciones EDR.
Tras la primera conexión con el servidor de mando y control, DCRAT envía un inventario detallado del sistema comprometido y queda a la espera de órdenes. Entre sus capacidades destacan el control remoto del escritorio, keylogging, apertura de shells reversos y ejecución de cargas adicionales en memoria. En el incidente analizado, los atacantes aprovecharon el acceso para instalar también un cryptominer en el equipo afectado.
Impacto en el sector hotelero y medidas de mitigación recomendadas
Una vez consolidado en un puesto de trabajo, el atacante puede utilizarlo como punto de partida para movimiento lateral dentro de la red del hotel, poniendo en riesgo sistemas de reservas, pasarelas de pago y bases de datos con información de huéspedes y socios. Además, la versión personalizada de DCRAT observada en PHALT#BLYX emplea puntos de conexión rotatorios y servicios públicos como Pastebin para el intercambio de comandos, lo que incrementa la resiliencia del botnet incluso si parte de la infraestructura de mando es desmantelada.
En un entorno donde la operativa diaria depende de plataformas de terceros como Booking.com, OTA y pasarelas de pago, resulta crítico que las organizaciones del sector hotelero adopten una estrategia de defensa en profundidad: formación continua en detección de phishing, restricción de permisos para ejecutar PowerShell, despliegue de soluciones EDR con análisis de comportamiento y revisión estricta de excepciones en antivirus y firewalls. Complementar estas medidas con simulaciones periódicas de ingeniería social y ejercicios de respuesta a incidentes permite reducir significativamente la eficacia de campañas como PHALT#BLYX y evitar que el hotel termine integrado en una botnet ajena.
