{"id":702211,"date":"2026-01-08T08:52:12","date_gmt":"2026-01-08T08:52:12","guid":{"rendered":"https:\/\/www.europesays.com\/de\/702211\/"},"modified":"2026-01-08T08:52:12","modified_gmt":"2026-01-08T08:52:12","slug":"fake-bluescreens-malware-angriffe-auf-europaeische-hotels","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/de\/702211\/","title":{"rendered":"Fake-Bluescreens: Malware-Angriffe auf europ\u00e4ische Hotels"},"content":{"rendered":"

Sicherheitsforscher warnen vor einer Angriffswelle auf die europ\u00e4ische Hotelbranche: Angreifer mit mutma\u00dflichen Verbindungen nach Russland schleusen Schadsoftware ein, indem sie Mitarbeiter dazu bringen, diese selbst zu installieren \u2013 getarnt als Fehlerbehebung nach einem vermeintlichen Windows-Bluescreen.<\/p>\n

Wie das Sicherheitsunternehmen Securonix<\/a> in einem diese Woche ver\u00f6ffentlichten Bericht darlegt, verfolgen die Analysten seit Monaten eine als PHALT#BLYX bezeichnete Angriffskampagne. Diese nutzt eine Variante der bekannten ClickFix-Angriffsmethode<\/a>, die auf geschicktem Social Engineering basiert.<\/p>\n

Der Ablauf ist simpel, aber wirkungsvoll: Hotelmitarbeiter erhalten E-Mails, die scheinbar von Booking.com stammen und vor angeblichen Stornierungen oder verd\u00e4chtigen Abbuchungen in betr\u00e4chtlicher H\u00f6he warnen. Folgt das Personal dem Link \u201cDetails anzeigen\u201d, landet es auf einer t\u00e4uschend echt nachgebildeten Booking.com-Seite.<\/p>\n

Vom Fake-Verifizierungsbildschirm zum Bluescreen<\/p>\n

Statt Reservierungsinformationen erscheint zun\u00e4chst ein gef\u00e4lschter Verifizierungsbildschirm, der dann abrupt in einen vollformatigen Windows-Bluescreen \u00fcbergeht. Diese nachgeahmte Fehlermeldung soll die Opfer in Panik versetzen und dazu bewegen, den vermeintlichen Fehler durch eine Reihe von Schritten selbst zu beheben.<\/p>\n

Am Ende dieser Schritte steht das Einf\u00fcgen und Ausf\u00fchren eines b\u00f6sartigen PowerShell-Befehls, das klassische Kennzeichen eines ClickFix-Angriffs<\/a>. Da die Betroffenen den Code selbst ausf\u00fchren, umgehen die Angreifer viele automatisierte Sicherheitsmechanismen, die herk\u00f6mmliche Malware-Downloads blockieren w\u00fcrden.<\/p>\n

Fortgeschrittene Infektionskette<\/p>\n

Nach der Ausf\u00fchrung des Befehls l\u00e4dt das System im Hintergrund weitere Dateien nach und nutzt legitime Windows-Komponenten zur Code-Ausf\u00fchrung. Dadurch f\u00fcgt sich die Schadsoftware in normale Systemaktivit\u00e4ten ein und entgeht Sicherheitstools. Das Endergebnis ist die Installation eines Remote-Access-Trojaners, der den Angreifern dauerhafte Kontrolle \u00fcber das kompromittierte System verschafft und ihnen erm\u00f6glicht, Aktivit\u00e4ten auszusp\u00e4hen und weitere Schadsoftware<\/a> nachzuladen.<\/p>\n

Die Sicherheitsforscher beobachten, dass die Angreifer ihre Infektionskette \u00fcber mehrere Monate hinweg weiterentwickelt haben. Sie sind von einfacheren HTML-Application-Techniken zu einer ausgefeilteren MSBuild-basierten Ausf\u00fchrung \u00fcbergegangen, was die Erkennung durch herk\u00f6mmliche Antivirenprogramme deutlich erschwert.<\/p>\n

\"Newsletter\"Russische Spuren<\/p>\n

Die Fokussierung auf Euro-Betr\u00e4ge und die gezielte Ansprache von Unternehmen der Hotelbranche w\u00e4hrend der gesch\u00e4ftigen Urlaubssaison deuten auf eine Kampagne hin, die sich gezielt an europ\u00e4ische Firmen richtet. Zus\u00e4tzliche Artefakte in den MSBuild-Projektdateien weisen auf russischsprachige Nutzer hin. Die verwendete DCRat-Malware-Familie wird zudem h\u00e4ufig in russischsprachigen Underground-Foren gehandelt, was den Verdacht einer russischen Urheberschaft verst\u00e4rkt.<\/p>\n","protected":false},"excerpt":{"rendered":"Sicherheitsforscher warnen vor einer Angriffswelle auf die europ\u00e4ische Hotelbranche: Angreifer mit mutma\u00dflichen Verbindungen nach Russland schleusen Schadsoftware ein,…\n","protected":false},"author":2,"featured_media":702212,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[135],"tags":[29,30,190,189,194,191,193,192],"class_list":{"0":"post-702211","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-wissenschaft-technik","8":"tag-deutschland","9":"tag-germany","10":"tag-science","11":"tag-science-technology","12":"tag-technik","13":"tag-technology","14":"tag-wissenschaft","15":"tag-wissenschaft-technik"},"share_on_mastodon":{"url":"https:\/\/pubeurope.com\/@de\/115858633147790422","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts\/702211","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/comments?post=702211"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts\/702211\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/media\/702212"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/media?parent=702211"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/categories?post=702211"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/tags?post=702211"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}