Cyberkriminelle attackieren europäische Hotels mit gefälschten Fehlermeldungen

| Hotellerie Hotellerie

Sicherheitsforscher warnen vor einer neuen, raffinierten Angriffswelle auf die europäische Hotelbranche. Kriminelle mit mutmaßlichen Verbindungen nach Russland nutzen eine als ClickFix bekannte Methode, um Schadsoftware in Hotelnetzwerke einzuschleusen. Dabei werden Mitarbeiter durch psychologischen Druck und technische Täuschung dazu gebracht, bösartigen Code selbst auszuführen. Die Kampagne wird von Analysten unter dem Namen PHALT#BLYX geführt.

Mehr dazu auch auf einer Warnseite des Hotelverbandes: https://www.hotellerie.de/news/warnungen

Perfide Täuschung über Buchungsportale

Der Angriff beginnt mit einer täuschend echt wirkenden E-Mail, die den Absender Booking.com imitiert. Darin werden die Empfänger über angebliche Stornierungen oder hohe Abbuchungen im vierstelligen Euro-Bereich informiert. Um die Details zu prüfen, führt ein Link die Mitarbeiter auf eine gefälschte Internetseite, die das Design des Buchungsportals nahezu perfekt kopiert. Da die Beträge in Euro angegeben sind, gehen Experten davon aus, dass der Fokus gezielt auf dem europäischen Markt liegt.

Fake-Bluescreen als Druckmittel

Auf der gefälschten Webseite erscheint nach einem kurzen Moment eine simulierte Fehlermeldung, die in einen täuschend echten Windows-Bluescreen übergeht. Dieser suggeriert einen Systemabsturz. Um den vermeintlichen Fehler zu beheben, wird der Nutzer aufgefordert, eine bestimmte Tastenkombination zu drücken und einen Befehl in das Windows-Ausführen-Fenster einzufügen.

Was wie eine technische Hilfestellung aussieht, ist der entscheidende Teil des Angriffs: Der Mitarbeiter kopiert unbewusst einen bösartigen PowerShell-Befehl, den er durch das manuelle Ausführen selbst am Sicherheitssystem vorbeischleust. Da die Aktion vom Nutzer ausgeht, greifen viele automatisierte Schutzmechanismen nicht.

Schadsoftware nistet sich tief im System ein

Sobald der Befehl ausgeführt wurde, nutzt die Schadsoftware legitime Windows-Werkzeuge wie den Microsoft Build Engine (MSBuild.exe), um den eigentlichen Schadcode nachzuladen. Im Hintergrund werden zudem die Sicherheitsvorkehrungen von Windows Defender gezielt deaktiviert oder durch Ausnahmeregeln umgangen.

Das Ziel der Angreifer ist die Installation des Fernzugriff-Trojaners DCRat. Dieser ermöglicht es den Hintermännern, das infizierte System vollständig zu kontrollieren, Passwörter auszuspähen oder weitere Schadprogramme wie Kryptominer zu installieren. Zur Tarnung wird der Schadcode mittels Process Hollowing in legitime Systemprozesse wie die "aspnet_compiler.exe" injiziert.

Hinweise auf russische Urheber

Mehrere Faktoren deuten laut dem Sicherheitsunternehmen Securonix auf russische Akteure hin. In den verwendeten Projektdateien wurden kyrillische Kommentare und russische Statusmeldungen gefunden, die auf einen Muttersprachler als Entwickler schließen lassen. Zudem wird die genutzte Malware-Familie DCRat primär in russischsprachigen Untergrund-Foren gehandelt. Die Kriminellen nutzen für ihre Infrastruktur zudem Techniken, die eine Entdeckung durch herkömmliche Antivirenprogramme erheblich erschweren. Hier mehr zum Hintergrund.


 

Zurück

Vielleicht auch interessant

Die The Chocolate on the Pillow Group (COTP) hat einen Miet- und Franchisevertrag für das im Bau befindliche Holiday Inn Express Kassel unterzeichnet. Damit sichert sich das Unternehmen das dritte Hotel aus der Insolvenz der Revo Hospitality Group.

Grand Metropolitan Hotels will das gemeinsame Joint Venture mit dem Versorgungswerk der Zahnärztekammer Berlin (VZB) beenden. Gleichzeitig berichten Medien über weitreichende Maßnahmen eines Amsterdamer Gerichts im laufenden Streit zwischen beiden Gesellschaftern.

Für das insolvente Traditionshotel Bösehof in Bad Bederkesa zeichnet sich eine Lösung ab. Ein Ehepaar aus der Region soll das Haus übernehmen, während die Gläubiger noch im Juli über den Insolvenzplan entscheiden.

Der Convenience-Großhändler MCS hat im Highway Hotel Herbolzheim seinen ersten autonomen 24-Stunden-Shop eröffnet. Mit dem Standort erweitert das Unternehmen sein Konzept erstmals auf die Hotellerie.

Eine professionell gestaltete E-Mail zu einem angeblichen Bettwanzenbefall hat in einem Hotelunternehmen zunächst einen glaubwürdigen Eindruck hinterlassen. Erst ein nicht existierendes Zimmer entlarvte den Vorgang als Phishing-Versuch.

Die Accor-Gruppe erweitert im Jahr 2026 ihr weltweites Hotelportfolio um zahlreiche neue Standorte und Luxusprojekte. Der Fokus liegt dabei auf einer globalen Expansion in unterschiedlichen Marktsegmenten.

Eine Branchenstudie von XPORT hat knapp 20.000 deutsche Hotel-Websites automatisiert auf Barrierefreiheit untersucht. Nach Angaben des Unternehmens weisen mehr als 85 Prozent der analysierten Seiten erkennbare Verstöße gegen WCAG-Richtlinien auf.

Smartments wird zwei Serviced-Apartmenthäuser in Berlin und Bielefeld für M&G Real Estate betreiben. Mit den langfristigen Mietverträgen wächst das Portfolio des Unternehmens auf 16 Standorte mit 2.389 Apartments.

Eine YouGov-Umfrage im Auftrag von a&o Hostels zeigt: Für viele Europäer bestimmen im Sommer 2026 vor allem Kosten und Unsicherheiten die Urlaubsplanung. Während jeder Elfte ganz auf eine Reise verzichtet, gewinnen Kurztrips innerhalb Europas an Bedeutung.

Aus einem ehemaligen H-Plus-Hotel entstand innerhalb von sechs Monaten das Moxy Zurich. Marco Meier von der SV Hotel beschreibt in einem Video-Gespräch, wie der Betreiberwechsel, der Umbau und die Neupositionierung des Hauses umgesetzt wurden.