Booking.com-Nutzer aufgepasst: Neue Malware im Umlauf
-
-
Lokalisiert von
Elize Kupce
Russische Hacker haben eine neue Masche namens „ClickFix“ gestartet, um Nutzer von Booking.com ins Visier zu nehmen. Mithilfe gefälschter CAPTCHAs und einem falschen „Blue Screen of Death“ bringen sie Nutzer dazu, Schadsoftware auf ihren Rechnern zu installieren.
-
Gefälschte Booking.com-Mails werden genutzt, um eine neue ClickFix-Malware-Kampagne zu starten.
-
Die Opfer führen den Schadcode selbst aus, das umgeht viele Sicherheitsmaßnahmen.
-
ClickFix-Attacken tauchen immer wieder auf, jetzt auch mit Verbindungen zu Ransomware-Vorfällen aus dem Jahr 2025.
Laut einem Bericht von Securonix ist die neue Kampagne eine überarbeitete Version einer älteren Angriffswelle. Die Angreifer haben ihre Tricks verbessert, um nicht erkannt zu werden und dauerhaft Zugriff auf die Geräte ihrer Opfer zu erhalten.
Die Operation läuft unter dem Codenamen „PHALT#BLYX“. Die Opfer werden dazu gedrängt, schädliche PowerShell-Befehle auszuführen, die heimlich Code aus dem Internet herunterlädt. „Dabei kommen mehrere Stufen zum Einsatz, mit PowerShell, Projektdateien und dem Tool msbuild“, sagte Securonix.
Die Preise auf den gefälschten Seiten werden in Euro angezeigt, der Schadcode selbst auf Russisch. Die Redakteure vermuten daher, dass Akteure aus Russland dahinterstecken, die sich auf europäische Ziele konzentrieren.
ClickFix ist eine Social-Engineering-Methode, die immer häufiger auftaucht. Sie nutzt aus, dass Leute CAPTCHAs und Verifizierungsabfragen gewohnt sind und bringt sie so dazu, selbst schädliche Skripte auszuführen.
Laut dem Center for Internet Security, das im letzten Jahr mehrere ClickFix‑Kampagnen entdeckt hatte, steckt diese Masche auch hinter mehreren Ransomware-Attacken bei öffentlichen Einrichtungen in den USA.
Urlaubszeit ist Hochsaison für Cyberangriffe
Die Angriffe starten mit einer Phishing-Mail, die so aussieht, als käme sie von Booking.com. Darin steht, dass eine Buchung storniert wurde.
Laut dem Blog von Securonix wird bei der stornierten Buchung ein viel zu hoher Geldbetrag angezeigt, häufig über mehrere tausend Euro, was beim Opfer ein Gefühl von Panik und Handlungsdruck auslösen soll.
Wenn man dann auf „Details anzeigen“ klickt, landet man auf einer gefälschten Booking.com-Seite. Dort erscheint ein „Ladefehler“, verbunden mit der Bitte, auf „Aktualisieren“ zu klicken.
Was bei dieser Kampagne besonders auffällt, ist, wie aggressiv sie Panik ausnutzt und dies mit finanziellem Druck, einer vertrauten Marke und einem vorgetäuschten Systemfehler kombiniert. So werden die Opfer dazu gebracht, Sicherheitsmechanismen eigenhändig zu umgehen.
Securonix sagte, dass die Buchungsplattform Booking.com schon öfter von Hackern missbraucht wurde.
„Bedrohungsakteure haben in der Vergangenheit Hotelkonten kompromittiert, um Gäste direkt anzuschreiben oder Phishing-E-Mails an Hotelbesitzer über gefälschte Anfragen zu senden“, darunter auch Taktiken wie gezielte Kontaktaufnahmen mit Sonderwünschen, etwa zu Allergien oder speziellen Ernährungsgewohnheiten.“
Außerdem sind die Phishing-E-Mail und die gefälschte Booking.com-Seite laut den Recherchen kaum von der echten Seite zu unterscheiden. Sie imitieren das Branding; Farben, Logos und Schriftarten sind quasi identisch mit denen der echten Buchungsplattform.
Ein Klick auf die gefälschte Aktualisieren-Schaltfläche löst eine animierte Version eines „Blue Screen of Death“ (BSOD) aus, der dem Nutzer anschließend erklärt, wie er das „Problem beheben“ kann.
Als Lösung wird den Opfern vorgegaukelt, sie müssten ein bestimmtes Skript in das Windows-Ausführen-Feld kopieren, dadurch wird die Schadsoftware installiert.
„Diese Technik setzt auf das aktive Mitwirken des Nutzers, um Schutzmaßnahmen zu umgehen, die normalerweise die automatische Ausführung von Skripten blockieren würden“, erklärte Securonix.
Anschließend deaktiviert die Malware die Antivirussoftware des Nutzers, richtet eine dauerhafte Präsenz ein und verbindet sich mit einem Command-and-Control-Server (C2), der vom Angreifer betrieben wird.
Was kann man gegen ClickFix-Angriffe machen?
Securonix gibt mehrere Empfehlungen, um die Infizierung zu durchbrechen. Dazu gehören unter anderem mehr Aufklärung der Nutzer und gezieltes Schulungsmaterial für Mitarbeitende in der Hotel- und Tourismusbranche über die „ClickFix“-Masche und die Gefahr, Skripte in den Windows-Ausführen-Dialog einzufügen.
Außerdem wird geraten, den Schutz vor Social-Engineering-Angriffen zu stärken. Man sollte besonders vorsichtig sein bei E-Mails, die angeblich von Booking.com oder anderen Reisediensten stammen. Vor allem wenn darin dringende finanzielle Forderungen gestellt werden.
Zusätzlich wird empfohlen, Anfragen immer über offizielle Kanäle zu überprüfen, bevor man auf Links klickt.
Weitere empfohlene Maßnahmen für IT-Fachkräfte und Sicherheitsteams sind die Überwachung von Systemen auf sogenannte „Living-off-the-Land“-Binärdateien sowie auf legitime Systemprozesse mit auffälligem Verhalten. Auch das Erkennen ungewöhnlicher Dateien und das Aktivieren des PowerShell-Script-Block-Loggings, um ausgeführte Skripte zu protokollieren und auszuwerten, werden empfohlen.
Die Recherchen zeigen, dass solche Angriffe einen größeren Trend verdeutlichen: manuell durchgeführte Social-Engineering-Angriffe, bei denen die Nutzer selbst dazu gebracht werden, Schutzmechanismen zu umgehen.
Die ClickFix-Techniken tauchen immer wieder in neuen Varianten auf und es ist laut Securonix damit zu rechnen, dass ähnliche Täuschungsversuche auch bei anderen bekannten Verbraucherplattformen wiederverwendet werden.
Entdecke mehr exklusive Cybernews-Reportagen bei YouTube.