Nel cuore dell'industria alberghiera europea si sta consumando una sofisticata operazione di cyber-spionaggio che sfrutta le paure più ancestrali di chi lavora con i computer: la temuta schermata blu di errore di Windows. Hacker con collegamenti alla Russia stanno infiltrando malware nei sistemi informatici di hotel e strutture ricettive attraverso un inganno tanto semplice quanto efficace, che trasforma i dipendenti stessi in inconsapevoli complici dell'attacco. La campagna, battezzata PHALT#BLYX dai ricercatori di sicurezza, rappresenta un'evoluzione preoccupante delle tecniche di ingegneria sociale applicate al crimine informatico.
L'inganno parte da una falsa cancellazione
Il meccanismo di attacco si innesca con email fraudolente che imitano le comunicazioni di Booking.com, la nota piattaforma di prenotazioni alberghiere. I dipendenti delle strutture ricettive ricevono messaggi allarmanti che segnalano addebiti sospetti denominati in euro, spesso di importo elevato per suscitare immediata preoccupazione. Quando la vittima clicca sul link "Vedi dettagli" per verificare la situazione, viene reindirizzata a una pagina web che riproduce fedelmente l'interfaccia del portale di prenotazioni, ma con un colpo di scena inaspettato.
Invece delle informazioni sulla prenotazione, sullo schermo compare una finta procedura di verifica che rapidamente lascia spazio a una schermata blu della morte (BSOD) di Windows a tutto schermo, progettata per seminare il panico nell'utente.
Quando la vittima diventa complice
La falsa schermata di errore è il cuore pulsante di questa truffa informatica, appartenente alla famiglia degli attacchi ClickFix. L'obiettivo è spingere il dipendente terrorizzato a seguire una serie di istruzioni che sembrano necessarie per risolvere il presunto problema tecnico. In realtà, queste operazioni culminano nell'inserimento ed esecuzione di comandi PowerShell dannosi direttamente da parte dell'utente.
Questa tecnica si rivela particolarmente insidiosa perché aggira molti sistemi di sicurezza automatizzati: quando è l'utente stesso a lanciare manualmente il codice malevolo, i tradizionali metodi di blocco dei download automatici risultano inefficaci. Secondo l'analisi di Securonix, società specializzata in sicurezza informatica che ha pubblicato il rapporto questa settimana, una volta eseguito il comando, il sistema scarica silenziosamente file aggiuntivi sfruttando componenti legittimi di Windows per eseguire il codice degli attaccanti.
Un trojan che apre le porte agli intrusi
Il risultato finale dell'operazione è l'installazione di un trojan ad accesso remoto (RAT, Remote Access Trojan) sui computer compromessi. Questa tipologia di malware garantisce agli hacker un controllo persistente sulla macchina infettata, permettendo loro di spiare le attività, sottrarre informazioni sensibili e installare ulteriore software dannoso secondo necessità. La capacità del malware di mimetizzarsi tra le attività normali del sistema operativo rende particolarmente difficile la sua individuazione da parte degli strumenti di sicurezza convenzionali.
I ricercatori di Securonix hanno osservato un'evoluzione significativa nella catena di infezione nel corso di diversi mesi. Gli attaccanti hanno progressivamente abbandonato tecniche più semplici basate su HTML Application per adottare metodologie più sofisticate che utilizzano MSBuild, un componente di Microsoft per la compilazione di applicazioni. Questo passaggio tecnologico rende l'attività malevola ancora più difficile da rilevare per gli antivirus tradizionali.
Nel mirino l'Europa dell'ospitalità
Diversi elementi convergono nell'indicare un'origine russa della campagna malevola. L'enfasi su addebiti denominati in euro e il targeting specifico di organizzazioni del settore ospitalità durante la stagione delle vacanze suggeriscono un'operazione mirata contro aziende europee. Gli esperti hanno inoltre individuato tracce di utilizzo della lingua russa nei file di progetto MSBuild analizzati.
Un ulteriore indizio proviene dalla tipologia di malware impiegato: il DCRat è infatti ampiamente commercializzato nei forum underground russi, rafforzando i sospetti che criminali informatici collegati alla Russia possano essere i responsabili di questa campagna. Il settore alberghiero, con i suoi sistemi spesso meno protetti rispetto alle grandi corporation ma ricchi di dati sensibili su ospiti e transazioni, rappresenta un bersaglio particolarmente appetibile per operazioni di questo genere.