Blog
Check-in, Klick, Kompromittierung
Eine neue Phishing-Kampagne gegen die europäische Hotellerie kombiniert einen bekannten Marken-Köder mit einer vergleichsweise neuen, aber äußerst wirksamen Social-Engineering-Methode: ClickFix. Das Ergebnis ist eine glaubwürdige Nachricht, die Hotelmitarbeitende auf eine gefälschte Website leitet und sie unter Zeitdruck dazu bringt, Befehle auszuführen die am Ende zur Installation eines Remote-Access-Trojaners führen.
Gefälschte Buchungsnachrichten zielen mit „ClickFix“-Malware auf Hotelmitarbeitende
Die Kampagne, von Securonix unter dem Namen PHALT#BLYX dokumentiert, wurde Ende Dezember 2025 beobachtet. Sie nutzt eine angebliche Stornierung im Booking-Kontext, um Opfer in eine mehrstufige Infektionskette zu ziehen, die schließlich mit der Installation von DCRat endet.
Warum das Thema über die Hotellerie hinaus relevant ist
Zwar richtet sich der Angriff zunächst gegen Hotels, die Methode lässt sich jedoch problemlos auf andere Branchen übertragen. Besonders betroffen sind Organisationen mit Frontline-Mitarbeitenden, die regelmäßig Buchungen, Kundenanfragen oder zeitkritische Bestätigungen bearbeiten.
Der Erfolg des Angriffs liegt nicht in einer neuen technischen Schwachstelle, sondern darin, Dringlichkeit und vermeintliche Routineaufgaben auszunutzen genau jene reibungslosen Abläufe, die viele Unternehmen aus Effizienzgründen bewusst tolerieren.
Hinzu kommt: Booking-bezogene Köder und ClickFix-ähnliche Abläufe tauchen bereits in weiteren aktuellen Kampagnen auf, die sich gegen Hotelbetriebe und administrative Accounts richten. Der Angriff ist Teil eines größeren Musters.
So funktioniert die ClickFix-Angriffskette
Die initiale E-Mail gibt sich als bookingbezogene Kommunikation aus und fordert die Empfängerin oder den Empfänger auf, eine Stornierung zu „bestätigen“ oder zu „validieren“. Der enthaltene Link führt auf täuschend echt gestaltete Domains, die den originalen Service nachahmen.
Ab diesem Punkt greift die ClickFix-Technik. Statt eines klassischen Datei-Downloads sieht das Opfer zunächst einen angeblichen Verifizierungsschritt, etwa ein CAPTCHA, gefolgt von einer gefälschten Windows-Fehlermeldung mit angeblichen „Wiederherstellungsanweisungen“.
Diese Anweisungen leiten dazu an, den Windows-Ausführen-Dialog zu öffnen und einen vorgegebenen Befehl einzufügen. Tatsächlich wird damit eine PowerShell-basierte Stufe gestartet, die weitere Payloads nachlädt und schließlich DCRat installiert. In der beobachteten Kampagne wurde MSBuild als Teil der Ausführungskette missbraucht.
Die Methode ist deshalb so effektiv, weil sie die natürliche Skepsis gegenüber Downloads umgeht. Aus Sicht der Nutzenden wird kein Programm installiert, sondern ein vermeintliches Systemproblem behoben.
Worauf Verteidiger achten sollten
Solche Kampagnen hinterlassen oft weniger technische Signaturen als vielmehr auffällige Verhaltensmuster. Entscheidend sind daher nicht einzelne Malware-Hashes, sondern die Schritte, die die Kompromittierung ermöglichen:
- Auffällige Häufung von E-Mails mit angeblichen Booking-Stornierungen, insbesondere an Rezeptionen oder Reservierungsadressen
- Webzugriffe von diesen Systemen auf Lookalike-Domains, die Buchungsprozesse imitieren
- Verdächtige PowerShell-Ausführungen aus einer Benutzer-Session kurz nach dem Besuch der Köderseite
- Ungewöhnliche MSBuild-Aktivitäten auf Endgeräten ohne Entwicklerkontext, vor allem in zeitlicher Nähe zu PowerShell-Nutzung
ClickFix-Kampagnen entwickeln sich schnell weiter. Domains wechseln, Köder werden angepasst und die Payload-Infrastruktur ändert sich laufend. Genau hier zeigt Cyber Threat Intelligence ihren größten Mehrwert, wenn sie nicht als Informationsflut, sondern als konkrete Handlungsgrundlage bereitgestellt wird.
Wie Cyber Threat Intelligence konkret hilft
Moderne Cybersicherheit erfordert eine proaktive, intelligence-getriebene Strategie. Angreifer innovieren ständig und nutzen Lücken Für Unternehmen in der Hotellerie und ebenso für andere serviceintensive Branchen unterstützt CTI unter anderem bei:
- der Identifikation und Nachverfolgung neu entstehender Lookalike-Infrastrukturen und Phishing-Domains
- der Erkennung neuer Auslieferungsmuster, etwa der Abfolge Fake-CAPTCHA → Fake-Fehlermeldung → Run/PowerShell
- der Einordnung eingesetzter Schadsoftware-Familien und ihrer typischen Einsatzszenarien, etwa Credential-Diebstahl, Fernzugriff oder Folgeangriffe
Besonders relevant ist zudem das Risiko von Folgeaktivitäten nach der Erstinfektion. Gestohlene Zugangsdaten werden häufig weiterverwendet oder verkauft. Eine nahezu Echtzeit-Erkennung von kompromittierten Credentials ermöglicht es, Passwörter zurückzusetzen, Sessions zu entziehen und eine Wiederverwendung zu verhindern, bevor weiterer Schaden entsteht.
Conscia ThreatInsights.
Über den Autor
David Kasabji
Principal Threat Intelligence Engineer
David Kasabji ist leitender Threat Intelligence Engineer bei der Conscia Group. Seine Hauptaufgabe besteht darin, relevante Bedrohungsdaten in verschiedenen Formaten an bestimmte Zielgruppen zu liefern, angefangen bei Conscias eigener Cyberabwehr bis hin zu öffentlichen Medienplattformen. Zu seinen Aufgaben gehören die Analyse und Aufbereitung von Threat Intel aus verschiedenen Datenquellen, das Reverse Engineering von Malware-Samples, die […]
Verwandt
