Threats
A Securonix identificou uma campanha ClickFix dirigida ao setor da hotelaria, baseada em phishing através de falsas reservas da Booking, destinada à instalação de RAT em sistemas Windows
08/01/2026
|
A Securonix alertou para uma campanha de phishing sofisticada, designada PHALT#BLYX, que está a visar organizações do setor da hotelaria com o objectivo de instalar remote access trojan (RAT). A operação recorre a técnicas de engenharia social e a mecanismos de execução indireta de código malicioso. Os ataques têm início com emails de phishing que simulam cancelamentos de reservas da Booking.com. As mensagens incluem detalhes de cobranças em euros e referências a reembolsos superiores a mil euros, de forma a incentivar a interação dos destinatários. Segundo a Securonix, este padrão sugere um foco específico em organizações europeias. Ao clicar no link incluído no email, a vítima é redirecionada para um site fraudulento que imita a Booking.com e apresenta um falso CAPTCHA. Em seguida, é exibido um erro de browser acompanhado por uma animação de um falso Blue Screen of Death (BSOD), concebido para induzir a execução de ações adicionais. O ataque ClickFix é ativado quando a vítima clica num botão de “recarregar página”. O browser entra em modo de ecrã inteiro e o falso BSOD apresenta instruções para pressionar várias combinações de teclas. Estas ações resultam na execução de comandos PowerShell que descarregam um ficheiro de projecto MSBuild malicioso. A cadeia de infeção prossegue com a compilação e execução do payload através do MSBuild, levando à desativação do Windows Defender, à criação de mecanismos de persistência e à execução de uma versão personalizada do DCRat. Antes da execução final, o malware verifica os privilégios do utilizador e, caso necessário, tenta escalar permissões através de abuso do User Account Control (UAC). O payload final é um executável .NET associado ao DCRat, um fork conhecido do AsyncRAT, caracterizado por elevados níveis de resiliência operacional. De acordo com a Securonix, o malware utiliza técnicas como a aleatorização de pontos de ligação e a possível utilização de dead-drop resolvers, como o Pastebin, para manter a comunicação mesmo após tentativas de desmantelamento da infraestrutura. A empresa de segurança sublinha que esta campanha demonstra uma evolução nas táticas de phishing direcionado, combinando credibilidade contextual com técnicas avançadas de execução, o que aumenta o risco para organizações com elevada exposição a interacções externas, como hotéis e cadeias de alojamento. |
Receba todas as novidades na sua caixa de correio!
THREATS
CNCS alerta para falhas de elevada criticidade
NEWS
EUA abandonam fórum global de cibersegurança e ameaças híbridas
ANALYSIS
IA, geopolítica e fraude marcam cibersegurança em 2026
THREATS
Ciberataque à Endesa expõe informação sensível, mas “não afeta clientes em Portugal”
NEWS
Patch Tuesday da Microsoft corrige zero-day ativo
THREATS
Ataque CrashFix explora extensão maliciosa no Chrome
THREATS
Microsoft corrige alerta de segurança que sinalizava componente do Windows como vulnerável
THREATS
Falha em firewalls permite ataques de negação de serviço
THREATS
Google e Mozilla corrigem falhas críticas que permitiam execução remota de código
THREATS
Falhas críticas que levam a execução remota de código corrigidas em produtos de segurança
