Securonix ha identificado una sofisticada campaña de ciberataque denominada PHALT#BLYX, atribuida a actores de amenazas rusos, que tiene como objetivo principal el sector de la hostelería, especialmente en países de Europa. La actividad maliciosa comienza con correos de phishing que suplantan a Booking.com, utilizando cebos de cancelaciones de reservas con cargos elevados para redirigir a las víctimas a sitios web fraudulentos.
Una vez allí, se emplea la técnica de ingeniería social CickFix, donde se muestra un falso pantallazo azul (BSOD) y un error de CAPTCHA para engañar al usuario y que este pegue y ejecute manualmente un comando de PowerShell en el diálogo Ejecutar de Windows. El impacto de este ataque permite a los atacantes evadir defensas mediante el uso de herramientas legítimas como MSBuild.exe para compilar y ejecutar el payload final, una versión altamente ofuscada de DCRat. Este malware proporciona acceso remoto completo (RAT), persistencia en el sistema, capacidad de registro de teclas y la posibilidad de desplegar cargas secundarias tras desactivar Windows Defender. Se recomienda la formación de empleados contra tácticas de ClickFix y la monitorización de ejecuciones anómalas de herramientas de desarrollo como MSBuild.
Fuente: Boletín Semanal de Ciberseguridad, 3-9 enero. Contenido adaptado con fines informativos.
2026 © Telefónica Cyber Security & Cloud Tech S.L.U. Todos los derechos reservados
0 comentarios