CheckBlackList

Booking.com e la Finta Schermata Blu: l’Attacco che Paralizza gli Hotel

Booking.com e la Finta Schermata Blu: l’Attacco che Paralizza gli Hotel

Per chi ha fretta

Una nuova e sofisticata campagna di phishing, nota come PHALT#BLYX, sta prendendo di mira il settore turistico simulando comunicazioni urgenti da piattaforme come Booking.com. L’attacco utilizza la psicologia dell’urgenza per spingere gli utenti su siti contraffatti che simulano una “Schermata Blu di Errore” (BSOD) di Windows. La vittima viene indotta a copiare e incollare un comando malevolo nel terminale, installando il trojan DCRat. Questo malware permette ai criminali di assumere il controllo totale del sistema, rubare dati e disabilitare gli antivirus.

L’Inganno Psicologico: Oltre la Semplice Email

Nel panorama della cybersecurity all’inizio del 2026, gli attacchi non cercano più solo falle nel software, ma vulnerabilità nel comportamento umano. La campagna PHALT#BLYX ne è l’esempio perfetto: sfrutta l’autorità di brand globali e la paura di perdite economiche. Le strutture ricettive ricevono comunicazioni riguardanti cancellazioni imminenti o problemi con i pagamenti in euro, spingendo il personale a cliccare rapidamente su link che sembrano portare alla console di gestione ufficiale.

La Trappola della “Finta Schermata Blu”

La vera innovazione di questa minaccia risiede nella fase di infezione. Una volta cliccato il link, il browser attiva una modalità a schermo intero che riproduce fedelmente la celebre schermata blu di errore di Windows. Per “risolvere il problema”, il sito fornisce istruzioni dettagliate:

  • Chiede all’utente di aprire la finestra “Esegui” (Windows + R).
  • Invita a incollare un codice apparentemente tecnico (che è in realtà uno script PowerShell già copiato negli appunti).
  • Una volta premuto invio, l’utente stesso avvia l’infezione, bypassando i controlli automatici del sistema.

Tecnica “Living off the Land”: Usare il Sistema contro se Stesso

L’attacco è particolarmente insidioso perché utilizza strumenti legittimi di Windows (come MSBuild) per scaricare ed eseguire il malware finale. Questa tecnica, definita “Living off the Land”, permette al codice malevolo di mimetizzarsi tra i processi standard del computer, rendendo difficile il rilevamento da parte dei comuni antivirus.

Il carico finale (payload) è solitamente una versione modificata di DCRat, un trojan di controllo remoto di origine russa. Questo strumento è capace di:

  1. Intercettare digitazioni (keylogging) per rubare password bancarie.
  2. Disabilitare Windows Defender, creando esclusioni per le cartelle infette.
  3. Garantire l’accesso persistente, assicurando che il virus si riavvii a ogni accensione del PC.

Consigli per evitare la truffa

La prevenzione in ambito aziendale e privato richiede un mix di attenzione tecnica e scetticismo:

  • Diffida dell’urgenza estrema: Le piattaforme ufficiali raramente richiedono azioni drastiche (come l’uso del terminale di comando) tramite un’email di notifica.
  • Analizza l’URL: Prima di inserire dati, controlla che l’indirizzo nella barra del browser sia esattamente quello ufficiale (es. admin.booking.com) e non varianti simili.
  • Non copiare mai comandi ignoti: La finestra “Esegui” di Windows è uno strumento potente; non incollare mai codici provenienti da siti web, anche se sembrano risolvere un errore del computer.
  • Usa account non amministratore: Per le attività quotidiane di ufficio, utilizza profili utente senza privilegi di amministratore. Questo limita la capacità dei malware di disabilitare le difese di sistema.
  • Formazione specifica: Il personale che gestisce le prenotazioni deve essere istruito a riconoscere queste finte schermate di sistema all’interno del browser.

Cosa fare se il sistema è stato infettato

Se sospetti che un comando malevolo sia stato eseguito, agisci tempestivamente:

  1. Isola il PC: Disconnetti immediatamente il dispositivo dalla rete Wi-Fi o via cavo per impedire al malware di inviare dati ai server dei criminali.
  2. Scansione Offline: Utilizza un antivirus che permetta una scansione all’avvio (boot-time scan) o da un supporto esterno (chiavetta USB di soccorso), poiché il malware attivo potrebbe nascondersi ai controlli standard.
  3. Bonifica degli Account: Cambia le password di tutti i servizi critici (portali di prenotazione, email aziendale, home banking) da un altro dispositivo sicuramente pulito.
  4. Verifica le Esclusioni: Controlla nelle impostazioni di Windows Defender se sono state aggiunte “Esclusioni” sospette a cartelle o file e rimuovile.
  5. Ripristino di fabbrica: Data la natura persistente di DCRat, la soluzione più sicura è spesso la formattazione completa e il ripristino del sistema operativo.

#checkblacklist #CyberSecurityTurismo #DCRatAlert #PhishingWindows

Claudio R Cerroni

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *