In Europa gerät die Hotellerie verstärkt ins Visier professioneller Cyberkrimineller: Sicherheitsforscher von Securonix haben eine ausgefeilte ClickFix-Kampagne mit dem Codenamen PHALT#BLYX analysiert, in der sich Angreifer als Booking.com ausgeben, einen täuschend echten Blue Screen of Death (BSOD) direkt im Browser simulieren und Mitarbeitende dazu bringen, eigenhändig PowerShell-Befehle auszuführen, um den Remote-Access-Trojaner DCRAT zu installieren.
ClickFix-Angriffe: Social Engineering als zentraler Angriffsvektor
Im Gegensatz zu klassischen Exploit-Ketten nutzen ClickFix-Angriffe keine Software-Schwachstellen, sondern setzen nahezu vollständig auf Social Engineering. Das Opfer wird schrittweise dazu verleitet, selbst einen bereitgestellten Befehl zu kopieren und auszuführen – typischerweise in PowerShell oder einem Terminal.
Damit wird die Erkennung durch Sicherheitslösungen erschwert: Die Aktionen gehen formal von einem legitimen Benutzerkonto aus, nicht von einem unbekannten Prozess. Laut dem Verizon Data Breach Investigations Report 2023 war bei rund 74 % der Sicherheitsvorfälle der „Human Factor“ beteiligt, etwa durch Phishing, Fehlkonfigurationen oder Social Engineering. ClickFix-Kampagnen fügen sich nahtlos in diesen Trend ein, indem sie Phishing, gefälschte Websites und psychologischen Druck kombinieren.
Booking.com-Phishing gegen Hotels: Stornierung und Rueckerstattung als Koeder
Die Kampagne PHALT#BLYX beginnt mit einer Phishing-E-Mail im Stil einer Buchungsbenachrichtigung von Booking.com. Im Mittelpunkt steht eine vermeintliche Stornierung einer Reservierung und ein angekündigter Rückerstattungsbetrag von mehr als 1.000 Euro. Diese Summe ist bewusst so gewählt, dass Front-Office-Mitarbeitende den Vorgang prüfen wollen, um finanzielle Fehler zu vermeiden.
Der in der Mail enthaltene Link führt auf die Domain low-house[.]com, auf der sich eine hochwertig gestaltete Kopie der Booking.com-Webseite befindet. Farbgebung, Logos und Layout orientieren sich eng am Original. In einem hektischen Hotelbetrieb, in dem E-Mails, Buchungsplattformen und OTA-Aggregatoren ständig im Einsatz sind, fallen derartige Fälschungen häufig nicht sofort auf.
Gefälschter Blue Screen im Browser zwingt Nutzer in PowerShell
Auf der gefälschten Seite wird ein schadhafter JavaScript-Code ausgeführt. Zunächst erscheint eine Meldung wie „Loading is taking too long“ mit einer Schaltfläche zum „Aktualisieren“ beziehungsweise Fortsetzen. Nach einem Klick wechselt der Browser in den Vollbildmodus und zeigt einen sehr realistisch nachgebildeten Windows-BSOD.
Im Unterschied zu einem echten Systemabsturz enthält dieser Fake-Bildschirm detaillierte „Wiederherstellungsanweisungen“. Die Nutzer sollen das Dialogfeld „Ausführen“ öffnen, Strg+V drücken – der JavaScript-Code hat den gefährlichen PowerShell-Befehl bereits in die Zwischenablage gelegt – und die Ausführung bestätigen. Ohne tiefere IT-Kenntnisse wirkt dies wie eine legitime Notfallprozedur zur Fehlerbehebung.
Technische Infektionskette: von PowerShell zu DCRAT
Missbrauch legitimer Windows-Tools wie MSBuild
Nach Ausführung des PowerShell-Kommandos blendet der Browser eine gefälschte Booking.com-Verwaltungsoberfläche ein, um das Opfer abzulenken. Im Hintergrund lädt das Skript ein .NET-Projekt mit der Bezeichnung v.proj und kompiliert es über das legitime Windows-Werkzeug MSBuild.exe. Diese Technik, oft als Living off the Land bezeichnet, missbraucht vorhandene Systemkomponenten und erschwert damit die signaturbasierte Erkennung.
Deaktivierte Schutzmechanismen und dauerhafte Verankerung
Im weiteren Verlauf modifiziert die Malware die Konfiguration von Windows Defender, indem sie Ausnahmen hinzufügt, und fordert über die Benutzerkontensteuerung (UAC) erhöhte Rechte an. Über den Dienst BITS (Background Intelligent Transfer Service) wird anschließend der Haupt-Loader aus dem Internet nachgeladen.
Zur Persistenz legt die Schadsoftware eine .url-Datei im Autostart-Ordner an. So wird der Loader bei jeder Anmeldung des Benutzers erneut ausgeführt, selbst wenn das System zwischendurch neu gestartet oder ein Teil der Infrastruktur bereinigt wird.
DCRAT-Remote-Access-Trojaner und Process Hollowing
Die finale Nutzlast ist DCRAT, ein Fork des weit verbreiteten AsyncRAT, der in zahlreichen kriminellen Botnetzen eingesetzt wird. DCRAT wird durch Process Hollowing in den legitimen Prozess aspnet_compiler.exe injiziert: Der originale Code des Prozesses wird entfernt und durch den Schadcode ersetzt, der dann im Speicher des vertrauenswürdigen Prozesses läuft.
Nach der ersten Verbindung zum Command-and-Control-Server übermittelt DCRAT detaillierte Systeminformationen und wartet auf Anweisungen. Die Funktionen reichen von Remote-Desktop-Zugriff und Keylogging über Reverse-Shells bis hin zum Nachladen weiterer Payloads im Speicher. Im von Securonix analysierten Fall setzten die Angreifer zusätzlich einen Kryptominer ein, um Rechenressourcen der kompromittierten Systeme zu monetarisieren.
Risiken fuer Hotels und zentrale Schutzmassnahmen
Hat sich DCRAT auf einem Arbeitsplatzrechner etabliert, lässt sich dieser als Ausgangspunkt für laterale Bewegungen im internen Netzwerk nutzen. Angreifer können auf Buchungssysteme, Property-Management-Systeme (PMS), Bezahlplattformen und Schnittstellen zu Partnern zugreifen. Dies erhöht das Risiko von Datenabflüssen personenbezogener Gästedaten, der Kompromittierung von Zugangsdaten und im schlimmsten Fall von Betriebsunterbrechungen – mit direkten Auswirkungen auf Reputation und Compliance, insbesondere im Kontext der DSGVO.
Die in PHALT#BLYX beobachtete, angepasste DCRAT-Variante zeichnet sich zudem durch hohe Resilienz aus: Verbindungsendpunkte werden randomisiert, und für Steuerung und Datenaustausch können legitime Plattformen wie Pastebin als Zwischenstationen missbraucht werden. Selbst wenn Teile der Command-and-Control-Infrastruktur abgeschaltet werden, bleibt der Botnetz-Betrieb dadurch häufig bestehen.
Organisationen der Hospitality-Branche sollten diese Entwicklung zum Anlass nehmen, ihre Sicherheitsarchitektur ganzheitlich zu stärken: Dazu gehören regelmäßige Schulungen zu Phishing-Erkennung, die strikte Einschränkung von PowerShell-Rechten (z. B. über AppLocker oder konfigurationsbasierte Richtlinien), der Einsatz von EDR-Lösungen mit verhaltensbasierter Analyse, eine sorgfältige Verwaltung von Ausnahmen in Endpoint-Schutzsystemen sowie simulierte Social-Engineering-Kampagnen. Wer solche Szenarien proaktiv trainiert und klare Incident-Response-Prozesse etabliert, reduziert die Erfolgswahrscheinlichkeit von Kampagnen wie PHALT#BLYX erheblich und verhindert, dass das eigene Hotel unbemerkt Teil eines kriminellen Botnetzes wird.
