La pantalla azul como trampa: ciberdelincuentes se hacen pasar por un Windows averiado.

Un mensaje sobre la cancelación de una reserva en Booking.com con una suma considerable cobrada parece una rutina habitual para hoteles y apartamentos. Pero es a partir de ese correo que comienza una nueva campaña maliciosa, que los especialistas de Securonix rastrean bajo el nombre PHALT#BLYX. Muestra claramente cómo los ataques modernos cada vez apuestan más por la psicología de los usuarios y la confianza en las herramientas estándar de Windows.

El ataque está dirigido al sector hotelero y se utilizó activamente en pleno periodo festivo. A las víctimas les llegan correos de phishing sobre una supuesta cancelación de reserva con detalles de pago en euros. Esto crea sensación de urgencia y empuja al receptor a seguir el enlace lo antes posible. En lugar del sitio legítimo de Booking.com, el usuario llega a una imitación de alta calidad, casi indistinguible del original. Los logotipos, las tipografías y los colores resultan convincentes y, por eso, no despiertan sospechas.

En la página falsa se muestra a la víctima un mensaje sobre un supuesto error de carga y se le pide que actualice la página. Tras el clic, el navegador pasa a pantalla completa y simula la pantalla azul de la muerte de Windows. En un estado de estrés se ofrece al usuario una manera sencilla de arreglarlo: abrir la ventana Ejecutar, pegar un comando que ya está copiado y pulsar Enter. En realidad, en el portapapeles se había colocado de antemano un script malicioso de PowerShell. De ese modo la persona ejecuta la infección por su cuenta, eludiendo muchos mecanismos automáticos de protección.

A continuación la campaña progresa en varias etapas. El script de PowerShell descarga un archivo de proyecto específico para MSBuild y lo ejecuta con la herramienta de compilación estándar de Microsoft. Este es uno de los momentos clave de toda la cadena. El uso de un binario del sistema de confianza permite que la ofensiva parezca legítima y con frecuencia eluda antivirus y políticas de control de aplicaciones. Como maniobra de distracción, en el navegador se abre al mismo tiempo el sitio real de administración de Booking.com para que la víctima no sospeche.

El proyecto MSBuild descargado contiene código embebido que inicialmente debilita la protección del sistema. En particular, añade excepciones en Windows Defender para carpetas y tipos de archivo importantes y, si hay privilegios de administrador, desactiva por completo la protección en tiempo real. Esto prepara el terreno para la descarga del componente malicioso principal. Si no hay privilegios de administrador, el malware comienza a mostrar de forma insistente solicitudes de control de cuentas de usuario, contando con que el usuario aceptará para que desaparezcan las ventanas emergentes.

La carga final es una versión modificada de DCRat, conocido instrumento de gestión remota, estrechamente vinculado al entorno delictivo de habla rusa. Instala un acceso persistente al sistema, se inyecta en procesos legítimos de Windows, captura pulsaciones de teclas, recopila datos del sistema y puede descargar módulos adicionales, incluidos mineros y otros programas maliciosos. Para fijarse en el sistema se utiliza un método atípico con accesos directos en formato .url en el inicio automático que apuntan a un ejecutable local.

Los investigadores también notaron rastros del idioma ruso en cadenas de servicio y mensajes de depuración dentro del código malicioso. Las formulaciones parecen naturales y gramaticalmente correctas, lo que indica desarrollo por hablantes nativos o el uso de un conjunto de herramientas listo procedente de foros subterráneos de habla rusa. Esto encaja con la elección de DCRat, que lleva tiempo siendo popular precisamente en ese segmento.

La campaña PHALT#BLYX demuestra cuán peligroso puede ser el combinado de ingeniería social y las técnicas llamadas "living off the land" (LotL), cuando para el ataque se usan las herramientas estándar del propio sistema operativo. En esos escenarios, la protección tradicional basada en firmas suele llegar tarde, y el factor clave pasa a ser el comportamiento del usuario. Los especialistas recomiendan prestar especial atención a la formación del personal, mostrar cautela ante correos urgentes de carácter financiero y vigilar con atención la actividad inusual de utilidades del sistema como MSBuild. Es en esos detalles donde hoy con más frecuencia se esconde el inicio de un incidente serio.