Underc0de - La Casa de los Informáticos

Una nueva campaña de ingeniería social ClickFix está apuntando directamente al sector hotelero en Europa, utilizando una técnica particularmente engañosa: pantallas falsas de la Pantalla Azul de la Muerte (BSOD) de Windows. El objetivo de los atacantes es manipular a empleados de hoteles para que ejecuten manualmente comandos maliciosos, comprometiendo sus propios sistemas sin necesidad de explotar vulnerabilidades técnicas tradicionales.

Esta campaña fue detectada por primera vez en diciembre y analizada en profundidad por investigadores de Securonix, quienes la rastrean bajo el identificador PHALT#BLYX. El ataque se inicia mediante correos electrónicos de phishing que suplantan a Booking.com, una plataforma ampliamente utilizada en la industria hotelera, lo que incrementa considerablemente su efectividad.

¿Qué es una pantalla azul de la muerte (BSOD) y por qué es tan efectiva?

La Pantalla Azul de la Muerte (Blue Screen of Death – BSOD) es un mecanismo legítimo de Windows que aparece cuando el sistema operativo encuentra un error crítico e irrecuperable, obligándolo a detenerse para evitar daños mayores. Normalmente, este mensaje incluye un código de error, información técnica mínima y una indicación para reiniciar el equipo.

Los atacantes se aprovechan de la familiaridad y el temor que genera esta pantalla, especialmente entre usuarios no técnicos, para simular un fallo grave del sistema y presentar instrucciones falsas de "recuperación". En condiciones de presión, como la gestión de una disputa económica con un supuesto cliente, muchas víctimas pasan por alto señales claras de fraude.

Phishing dirigido que suplanta a Booking.com

La cadena de infección comienza con correos electrónicos de phishing altamente personalizados, que simulan provenir de huéspedes que cancelan una reserva a través de Booking.com. Estos mensajes suelen reclamar reembolsos de importes significativos, diseñados para generar urgencia y estrés en el personal del hotel.

Al hacer clic en el enlace incluido en el correo, la víctima es redirigida a un sitio web falso alojado en low-house[.]com, descrito por Securonix como un "clon de alta fidelidad" del sitio legítimo de Booking.com.

Citar"La página utiliza la marca oficial de Booking.com, incluyendo la paleta de colores correcta, logotipos y tipografías. Para un ojo inexperto, es prácticamente indistinguible del sitio real", señalan los investigadores.

JavaScript malicioso y el inicio del engaño ClickFix

El sitio fraudulento contiene JavaScript malicioso que muestra un falso mensaje de error indicando que "la carga está tardando demasiado". Este mensaje invita al usuario a pulsar un botón para actualizar la página.

Al hacerlo, el navegador pasa automáticamente a modo pantalla completa, ocultando la barra de direcciones y otros indicadores del navegador, y muestra una pantalla falsa de bloqueo tipo BSOD. Es en este punto donde se activa plenamente la ingeniería social ClickFix.

La pantalla instruye al usuario para:

• Abrir el cuadro de diálogo Ejecutar de Windows
• Presionar CTRL + V, lo que pega un comando previamente copiado al portapapeles
• Pulsar OK o Enter para "solucionar el problema"

A diferencia de un BSOD legítimo, esta pantalla falsa ofrece instrucciones de recuperación, una clara señal de engaño que puede pasar desapercibida para usuarios sin formación técnica.

Ejecución manual del malware mediante PowerShell

Al ejecutar el comando, la víctima lanza un script malicioso de PowerShell que inicialmente abre una página señuelo de administración de Booking.com, reforzando la ilusión de legitimidad.

Sin embargo, en segundo plano, el comando descarga un proyecto .NET malicioso (v.proj) que es compilado localmente usando MSBuild.exe, una herramienta legítima de Windows. Esta técnica, conocida como Living-off-the-Land (LotL), ayuda a evadir soluciones de seguridad tradicionales.

Una vez compilada, la carga útil:

• Añade exclusiones en Windows Defender
• Solicita elevación de privilegios mediante UAC
• Descarga el cargador principal usando BITS (Background Intelligent Transfer Service)
• Establece persistencia creando un archivo .url en la carpeta de inicio automático

DCRAT: el troyano de acceso remoto desplegado

El malware final, identificado como staxs.exe, corresponde a DCRAT, un troyano de acceso remoto (RAT) ampliamente utilizado por actores de amenazas para el control total de sistemas comprometidos.

Para ocultar su actividad, DCRAT se inyecta en el proceso legítimo aspnet_compiler.exe mediante process hollowing, ejecutándose completamente en memoria y reduciendo su huella en disco.

En su primera comunicación con el servidor de Comando y Control (C2), el malware envía una huella digital completa del sistema, incluyendo información del hardware, sistema operativo y usuario. Posteriormente, queda a la espera de órdenes.

Entre sus capacidades destacan:

• Escritorio remoto
• Keylogging
• Reverse shell
• Ejecución en memoria de cargas adicionales

En el caso analizado por Securonix, los atacantes desplegaron posteriormente un minero de criptomonedas, monetizando el acceso comprometido.

Riesgo crítico para redes hoteleras

Una vez establecido el acceso remoto, los atacantes obtienen un punto de apoyo persistente dentro de la red de la organización. Desde allí, pueden:

• Moverse lateralmente a otros sistemas
• Robar información sensible de clientes
• Acceder a sistemas de facturación o reservas
• Preparar ataques de ransomware o espionaje corporativo

Este incidente demuestra cómo la ingeniería social avanzada, combinada con JavaScript malicioso, herramientas legítimas de Windows y malware conocido, sigue siendo una de las principales amenazas para el sector hotelero y de servicios.

Fuente: https://www.bing.com/