Una campaña de malware basada en ingeniería social utiliza supuestas cancelaciones de reservas y simulaciones del “pantallazo azul de la muerte” de Windows para inducir a trabajadores del rubro a ejecutar código malicioso, logrando acceso remoto y persistente a los sistemas.
Una sofisticada campaña de ciberataques avistada por primera vez en diciembre pasado por el analista JAMESWT_WT, ha puesto en la mira de hoteles, hostales y alojamientos turísticos, aprovechando su alta carga operativa en esta temporada. Así lo demostraron recientemente investigadores de la firma Securonix, quienes identificaron esta operación, identificada como PHALT#BLYX, la cual combina correos de phishing, clonación de sitios web legítimos y técnicas de manipulación psicológica (ingeniería social) para engañar a los usuarios y lograr que ejecuten malware por cuenta propia.
El punto de partida suele ser un correo electrónico que simula una cancelación de reserva del popular sitio Booking, con cargos elevados -frecuentemente superiores a los mil euros- diseñados para generar urgencia y estrés en el receptor. Al hacer clic en el enlace, la víctima es redirigida a un sitio falso que replica con gran fidelidad la identidad visual de la plataforma original. “El uso de la paleta de colores, logotipos y tipografías oficiales hace que, para un ojo no entrenado, sea prácticamente indistinguible del sitio legítimo”, advirtieron los investigadores.
Una vez en la página fraudulenta, se muestra un mensaje de error que indica que la carga está demorando demasiado. Al intentar “refrescar” la página, el navegador pasa a pantalla completa y despliega una falsa “pantalla azul de la muerte” (BSOD) de Windows. A diferencia de una real, esta incluye instrucciones paso a paso para “solucionar” el problema. En ese momento el usuario es inducido a abrir el cuadro de ejecución de Windows y pegar un comando que, sin saberlo, activa la cadena de infección.
Según los investigadores de Securonix, esta táctica corresponde a la técnica conocida como ClickFix, que se aprovecha de la tendencia humana a resolver problemas de inmediato. “La manipulación psicológica, combinada con el abuso de binarios confiables como MSBuild.exe, permite que la infección se establezca antes de que las defensas tradicionales reaccionen”, señalaron los analistas.
El comando ejecutado descarga un archivo de proyecto malicioso que es compilado mediante MSBuild.exe, una herramienta legítima de Microsoft. Este enfoque, clasificado como living-off-the-land, ayuda a evadir controles de seguridad. El resultado final es la instalación de DCRat, un troyano de acceso remoto capaz de registrar pulsaciones de teclado, ejecutar comandos, inyectarse en procesos legítimos y desplegar cargas adicionales, como mineros de criptomonedas.
La atribución preliminar apunta a actores de habla rusa. Entre los indicios se incluyen cadenas de depuración en cirílico dentro del código, infraestructura vinculada a Rusia y el uso de DCRat, un malware ampliamente comercializado en foros clandestinos y que figura en los TOP 20 malware más prolíficos a nivel global del año recién pasado. El enfoque en cargos económicos en euros refuerza la hipótesis de un objetivo claramente europeo.
Los atacantes también implementaron mecanismos de persistencia y evasión, como exclusiones en Windows Defender y métodos poco comunes para iniciar el malware al arrancar el sistema. Esto les permite mantener acceso prolongado, moverse lateralmente dentro de la red y potencialmente comprometer otros sistemas.
Los especialistas advirtieron que esta campaña “representa una evolución significativa en la distribución de malware común” y subrayaron la necesidad de reforzar tanto la capacitación del personal como la supervisión del uso anómalo de herramientas legítimas.