Cyberkriminelle attackieren europäische Hotels mit gefälschten Fehlermeldungen

| Hotellerie Hotellerie

Sicherheitsforscher warnen vor einer neuen, raffinierten Angriffswelle auf die europäische Hotelbranche. Kriminelle mit mutmaßlichen Verbindungen nach Russland nutzen eine als ClickFix bekannte Methode, um Schadsoftware in Hotelnetzwerke einzuschleusen. Dabei werden Mitarbeiter durch psychologischen Druck und technische Täuschung dazu gebracht, bösartigen Code selbst auszuführen. Die Kampagne wird von Analysten unter dem Namen PHALT#BLYX geführt. Hier mehr zum Hintergrund.

Perfide Täuschung über Buchungsportale

Der Angriff beginnt mit einer täuschend echt wirkenden E-Mail, die den Absender Booking.com imitiert. Darin werden die Empfänger über angebliche Stornierungen oder hohe Abbuchungen im vierstelligen Euro-Bereich informiert. Um die Details zu prüfen, führt ein Link die Mitarbeiter auf eine gefälschte Internetseite, die das Design des Buchungsportals nahezu perfekt kopiert. Da die Beträge in Euro angegeben sind, gehen Experten davon aus, dass der Fokus gezielt auf dem europäischen Markt liegt.

Fake-Bluescreen als Druckmittel

Auf der gefälschten Webseite erscheint nach einem kurzen Moment eine simulierte Fehlermeldung, die in einen täuschend echten Windows-Bluescreen übergeht. Dieser suggeriert einen Systemabsturz. Um den vermeintlichen Fehler zu beheben, wird der Nutzer aufgefordert, eine bestimmte Tastenkombination zu drücken und einen Befehl in das Windows-Ausführen-Fenster einzufügen.

Was wie eine technische Hilfestellung aussieht, ist der entscheidende Teil des Angriffs: Der Mitarbeiter kopiert unbewusst einen bösartigen PowerShell-Befehl, den er durch das manuelle Ausführen selbst am Sicherheitssystem vorbeischleust. Da die Aktion vom Nutzer ausgeht, greifen viele automatisierte Schutzmechanismen nicht.

Schadsoftware nistet sich tief im System ein

Sobald der Befehl ausgeführt wurde, nutzt die Schadsoftware legitime Windows-Werkzeuge wie den Microsoft Build Engine (MSBuild.exe), um den eigentlichen Schadcode nachzuladen. Im Hintergrund werden zudem die Sicherheitsvorkehrungen von Windows Defender gezielt deaktiviert oder durch Ausnahmeregeln umgangen.

Das Ziel der Angreifer ist die Installation des Fernzugriff-Trojaners DCRat. Dieser ermöglicht es den Hintermännern, das infizierte System vollständig zu kontrollieren, Passwörter auszuspähen oder weitere Schadprogramme wie Kryptominer zu installieren. Zur Tarnung wird der Schadcode mittels Process Hollowing in legitime Systemprozesse wie die "aspnet_compiler.exe" injiziert.

Hinweise auf russische Urheber

Mehrere Faktoren deuten laut dem Sicherheitsunternehmen Securonix auf russische Akteure hin. In den verwendeten Projektdateien wurden kyrillische Kommentare und russische Statusmeldungen gefunden, die auf einen Muttersprachler als Entwickler schließen lassen. Zudem wird die genutzte Malware-Familie DCRat primär in russischsprachigen Untergrund-Foren gehandelt. Die Kriminellen nutzen für ihre Infrastruktur zudem Techniken, die eine Entdeckung durch herkömmliche Antivirenprogramme erheblich erschweren.

 

Zurück

Vielleicht auch interessant

Die Kooperation Romantik Hotels & Restaurants wächst: Zum 1. Januar 2026 verstärken vier traditionsreiche Häuser in Brandenburg, der Eifel und Franken das Netzwerk und setzen dabei auf regionale Identität und Wellness.

Weiterlesen

In Sinzing bei Regensburg steht das Donau-Hotel zur Neuverpachtung oder zum Verkauf. Die 1996 erbaute und vor wenigen Jahren renovierte Immobilie verfügt über 15 Zimmer, eine Gastronomiefläche und eine verkehrsgünstige Lage an der A3.

Weiterlesen

Hilton baut sein Portfolio im britischen Lifestyle-Segment weiter aus. Das im Jahr 2023 eröffnete Hotel The BoTree in London schließt sich der Curio Collection an. Das Haus umfasst 200 Zimmer und bietet drei unterschiedliche gastronomische Konzepte.

Weiterlesen

Die deutsche Nationalmannschaft hat ihr Quartier für die Weltmeisterschaft 2026 gewählt. In Winston-Salem findet das Team eine Kombination aus historischem Hotelambiente und hochmodernen Trainingsanlagen der Wake Forest University vor.

Weiterlesen

Das in das Stadion BayArena integrierte Hotel in Leverkusen firmiert seit dem Jahreswechsel unter dem Namen The Curve Hotel BayArena Leverkusen. Damit wechselt, nach über einem Vierteljahrhundert, das nächste Lindner-Hotel zur Hospitality X-Gruppe, die ebenfalls von einem Lindner-Spross, dem Sohn von Otto Lindner, geführt wird.

Weiterlesen

Die Welt zu Gast in beiden ostdeutschen Freistaaten. In den kommenden Wochen locken wieder Weltcups Wintersportfans nach Sachsen und Thüringen. Die Tourismusbranche frohlockt.

Weiterlesen

a&o Hostels erweitert das eigene Portfolio in Großbritannien durch den Erwerb von zwei ehemaligen Accor-Häusern in Manchester. Bis 2027 entstehen dort, nach umfangreichen Investitionen, über 1.200 Betten.

Weiterlesen

Die Vorreiter AG hat zum 1. Januar 2026 den Betrieb des Hotels Gut Steinbach Hotel Chalets SPA in Reit im Winkl übernommen. Das zur Vereinigung Relais & Châteaux gehörende Anwesen auf einem 50 Hektar großen Hochplateau in den Chiemgauer Alpen wird künftig unter der Leitung von Hotelmanager Raphael Merkel geführt.

Weiterlesen

Die österreichische Beherbergungsbranche sieht sich zu Beginn des Jahres 2026 mit einer paradoxen Marktsituation konfrontiert. Während die Nachfrage und die Auslastung stabil bleiben, gerät die reale Wertschöpfung zunehmend unter Druck, so ein aktueller Bericht.

Weiterlesen

Die deutsche Hotellerie befindet sich im Wandel. Für 2026 zeichnet sich ein Markt ab, in dem Chancen und Herausforderungen eng verknüpft sind. Laut Destatis haben sich die Übernachtungszahlen stabilisiert, gleichzeitig verschärfen steigende Personal- und Energiekosten, Fachkräftemangel sowie verändertes Buchungsverhalten die wirtschaftlichen Bedingungen. Klassische Preisstrukturen geraten zunehmend an ihre Grenzen.

Weiterlesen