Uma nova e engenhosa campanha de cibercrime, batizada de PHALT#BLYX, está a colocar em alerta máximo o setor da hotelaria e hospitalidade em toda a Europa. Segundo investigadores da Securonix, os atacantes estão a utilizar uma técnica de manipulação psicológica sem precedentes: simulam um "Blue Screen of Death" (BSOD) diretamente no navegador da vítima para a induzir a executar comandos maliciosos. Este ataque tira partido do pânico gerado por erros de sistema para contornar as defesas tradicionais.
O processo de infeção inicia-se com e-mails de phishing extremamente convincentes, que simulam cancelamentos de reservas com valores elevados, muitas vezes superiores a 1.000 euros. Ao clicar em hiperligações para ver os detalhes da suposta reserva, o utilizador é redirecionado para um site fraudulento. É aqui que a "magia" negra acontece: a página simula uma falha de carregamento e, após uma atualização (refresh), exibe uma animação perfeita do famoso ecrã azul do Windows, instruindo o utilizador a copiar e colar um script na consola de comandos para "reparar" o erro.
Ao seguir estas instruções, a vítima acaba por instalar o DCRat, um Trojan de Acesso Remoto (RAT) muito popular em fóruns de cibercrime russos. Este malware é uma autêntica "faca suíça" para piratas informáticos: permite registar tudo o que é digitado (keylogging), roubar palavras-passe, aceder a dados da área de transferência e até desativar proativamente o Windows Defender. Para manter o disfarce, o ataque abre uma página de reservas legítima em segundo plano, enquanto o malware se instala silenciosamente.
Os indícios técnicos recolhidos pela Securonix apontam para uma origem russa, devido à infraestrutura de comando e controlo localizada na Rússia e ao uso de código específico em cirílico. A campanha intensificou-se estrategicamente durante o outono europeu, aproveitando o pico de reservas e o stresse das equipas de receção dos hotéis, que lidam diariamente com volumes elevados de e-mails e pagamentos.
Este ataque representa uma evolução perigosa na engenharia social, pois não se limita a esconder um ficheiro executável, mas convence o próprio utilizador a "abrir a porta" ao invasor. Para as empresas do setor, o aviso é claro: nenhuma página web legítima solicitará a execução de scripts no comando "Executar" do Windows para corrigir erros de visualização. A formação dos colaboradores e a desconfiança perante e-mails de cobranças inesperadas continuam a ser as melhores linhas de defesa.
Comentários