Check-in, Klick, Kompromittierung
ID: 2223428
Eine neue Phishing-Kampagne gegen die europäische Hotellerie kombiniert einen bekannten Marken-Köder mit einer vergleichsweise neuen, aber äußerst wirksamen Social-Engineering-Methode: ClickFix.
Gefälschte Buchungsnachrichten zielen mit „ClickFix“-Malware auf Hotelmitarbeitende
Die Kampagne, von Securonix unter dem Namen PHALT#BLYX dokumentiert, wurde Ende Dezember 2025 beobachtet. Sie nutzt eine angebliche Stornierung im Booking-Kontext, um Opfer in eine mehrstufige Infektionskette zu ziehen, die schließlich mit der Installation von DCRat endet.
Warum das Thema über die Hotellerie hinaus relevant ist
Zwar richtet sich der Angriff zunächst gegen Hotels, die Methode lässt sich jedoch problemlos auf andere Branchen übertragen. Besonders betroffen sind Organisationen mit Frontline-Mitarbeitenden, die regelmäßig Buchungen, Kundenanfragen oder zeitkritische Bestätigungen bearbeiten.
Der Erfolg des Angriffs liegt nicht in einer neuen technischen Schwachstelle, sondern darin, Dringlichkeit und vermeintliche Routineaufgaben auszunutzen genau jene reibungslosen Abläufe, die viele Unternehmen aus Effizienzgründen bewusst tolerieren.
Hinzu kommt: Booking-bezogene Köder und ClickFix-ähnliche Abläufe tauchen bereits in weiteren aktuellen Kampagnen auf, die sich gegen Hotelbetriebe und administrative Accounts richten. Der Angriff ist Teil eines größeren Musters.
So funktioniert die ClickFix-Angriffskette
Die initiale E-Mail gibt sich als bookingbezogene Kommunikation aus und fordert die Empfängerin oder den Empfänger auf, eine Stornierung zu „bestätigen“ oder zu „validieren“. Der enthaltene Link führt auf täuschend echt gestaltete Domains, die den originalen Service nachahmen.
Ab diesem Punkt greift die ClickFix-Technik. Statt eines klassischen Datei-Downloads sieht das Opfer zunächst einen angeblichen Verifizierungsschritt, etwa ein CAPTCHA, gefolgt von einer gefälschten Windows-Fehlermeldung mit angeblichen „Wiederherstellungsanweisungen“.
Diese Anweisungen leiten dazu an, den Windows-Ausführen-Dialog zu öffnen und einen vorgegebenen Befehl einzufügen. Tatsächlich wird damit eine PowerShell-basierte Stufe gestartet, die weitere Payloads nachlädt und schließlich DCRat installiert. In der beobachteten Kampagne wurde MSBuild als Teil der Ausführungskette missbraucht.
Die Methode ist deshalb so effektiv, weil sie die natürliche Skepsis gegenüber Downloads umgeht. Aus Sicht der Nutzenden wird kein Programm installiert, sondern ein vermeintliches Systemproblem behoben.
Worauf Verteidiger achten sollten
Solche Kampagnen hinterlassen oft weniger technische Signaturen als vielmehr auffällige Verhaltensmuster. Entscheidend sind daher nicht einzelne Malware-Hashes, sondern die Schritte, die die Kompromittierung ermöglichen:
- Auffällige Häufung von E-Mails mit angeblichen Booking-Stornierungen, insbesondere an Rezeptionen oder Reservierungsadressen
- Webzugriffe von diesen Systemen auf Lookalike-Domains, die Buchungsprozesse imitieren
- Verdächtige PowerShell-Ausführungen aus einer Benutzer-Session kurz nach dem Besuch der Köderseite
- Ungewöhnliche MSBuild-Aktivitäten auf Endgeräten ohne Entwicklerkontext, vor allem in zeitlicher Nähe zu PowerShell-Nutzung
ClickFix-Kampagnen entwickeln sich schnell weiter. Domains wechseln, Köder werden angepasst und die Payload-Infrastruktur ändert sich laufend. Genau hier zeigt Cyber Threat Intelligence ihren größten Mehrwert, wenn sie nicht als Informationsflut, sondern als konkrete Handlungsgrundlage bereitgestellt wird.
Wie Cyber Threat Intelligence konkret hilft
Moderne Cybersicherheit erfordert eine proaktive, intelligence-getriebene Strategie. Angreifer innovieren ständig und nutzen Lücken Für Unternehmen in der Hotellerie und ebenso für andere serviceintensive Branchen unterstützt CTI unter anderem bei:
- der Identifikation und Nachverfolgung neu entstehender Lookalike-Infrastrukturen und Phishing-Domains
- der Erkennung neuer Auslieferungsmuster, etwa der Abfolge Fake-CAPTCHA ? Fake-Fehlermeldung ? Run/PowerShell
- der Einordnung eingesetzter Schadsoftware-Familien und ihrer typischen Einsatzszenarien, etwa Credential-Diebstahl, Fernzugriff oder Folgeangriffe
Besonders relevant ist zudem das Risiko von Folgeaktivitäten nach der Erstinfektion. Gestohlene Zugangsdaten werden häufig weiterverwendet oder verkauft. Eine nahezu Echtzeit-Erkennung von kompromittierten Credentials ermöglicht es, Passwörter zurückzusetzen, Sessions zu entziehen und eine Wiederverwendung zu verhindern, bevor weiterer Schaden entsteht.
Conscia ist ein führender europäischer IT-Spezialist in den Bereichen Netzwerk, Telekommunikation, Cybersicherheit und Cloud und bietet sichere Infrastrukturlösungen und Managed Services rund um die Uhr für Kunden mit komplexen Anforderungen in den Bereichen Netzwerk, Rechenzentrum, Cloud, IoT und Mobilität.
Conscia wurde 2003 gegründet und beschäftigt heute über 1.700 Mitarbeiter, die von Niederlassungen in Dänemark, Schweden, Norwegen, Finnland, Deutschland, den Niederlanden, Belgien, Slowenien, Spanien, Irland und UK aus einige der größten Unternehmen in den Bereichen Finanzdienstleistungen, Gesundheitswesen, öffentlicher Sektor, Fertigung, Versorgungsunternehmen und Einzelhandel betreuen. Ziel des Unternehmens ist es, der beste Arbeitsplatz in Europa für talentierte IT-Spezialisten mit fundierten technischen Kenntnissen zu sein.
Weitere Infos zu dieser Pressemeldung:
Unternehmensinformation / Kurzprofil:
Conscia ist ein führender europäischer IT-Spezialist in den Bereichen Netzwerk, Telekommunikation, Cybersicherheit und Cloud und bietet sichere Infrastrukturlösungen und Managed Services rund um die Uhr für Kunden mit komplexen Anforderungen in den Bereichen Netzwerk, Rechenzentrum, Cloud, IoT und Mobilität.
Conscia wurde 2003 gegründet und beschäftigt heute über 1.700 Mitarbeiter, die von Niederlassungen in Dänemark, Schweden, Norwegen, Finnland, Deutschland, den Niederlanden, Belgien, Slowenien, Spanien, Irland und UK aus einige der größten Unternehmen in den Bereichen Finanzdienstleistungen, Gesundheitswesen, öffentlicher Sektor, Fertigung, Versorgungsunternehmen und Einzelhandel betreuen. Ziel des Unternehmens ist es, der beste Arbeitsplatz in Europa für talentierte IT-Spezialisten mit fundierten technischen Kenntnissen zu sein.
Datum: 13.01.2026 - 08:00 Uhr
Sprache: Deutsch
News-ID 2223428
Anzahl Zeichen: 6233
Kontakt-Informationen:
Ansprechpartner: Robert Ruckdäschel
Stadt:
Ettlingen
Telefon: +49 7243 50544
Kategorie:
New Media & Software
Diese Pressemitteilung wurde bisher 170 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Check-in, Klick, Kompromittierung"
steht unter der journalistisch-redaktionellen Verantwortung von
Conscia Deutschland GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Mit der zunehmenden Verbreitung von KI?Anwendungen reicht es für IT? und Security?Verantwortliche nicht mehr aus, Nutzung lediglich sichtbar zu machen. Entscheidend ist die Fähigkeit, KI risikobasiert und im laufenden Betrieb zu steuern. In einer dreiteiligen Blogserie beschreibt Conscia einen str
NIS-2 wird zur Pflicht: Was Unternehmen jetztüber Umsetzung, Aufwand und Zuständigkeiten wissen müssen ...
Mit der NIS-2-Richtlinie verschärft die EU die Vorgaben zur Informationssicherheit für Unternehmen aus kritischen und wichtigen Sektoren. Die Zahl der betroffenen Organisationen steigt deutlich, ebenso die Anforderungen an Risikomanagement, Dokumentation und technische Sicherheitsmaßnahmen. Viele
Conscia plantÜbernahme von Open Line ...
Die geplante Transaktion ist die bislang größte Übernahme in der Geschichte von Conscia und steht im Einklang mit dem strategischen Ziel, führender paneuropäischer Anbieter für Cybersecurity und Managed Services zu werden. Open Line ist ein niederländischer Anbieter von Cloud Managed Services
Weitere Mitteilungen von Conscia Deutschland GmbH
SVA erweitert Cyber-Security-Portfolio mit SentinelOne ...
Der IT-Dienstleister SVA System Vertrieb Alexander GmbH erweitert sein Angebotsportfolio im Bereich Cyber Security und vertieft die langjährige Partnerschaft mit SentinelOne® (NYSE: S), einem führenden Anbieter in KI-nativer Cybersicherheit. Seit Ende 2025 bietet SVA den Service Managed Endpoint
Leistungsstarke Firewall Appliance für Enterprise- und Industrieapplikationen ...
TX-Team stellt mit dem Fanless I1U1300 eine neue, leistungsstarke Networking Appliance vor. Das lüfterlose und ausgesprochen zuverlässige System ist für erhöhte, industrielle Temperaturen (0..50°C) ausgelegt und damit ideal zum Absichern von IT- und OT-Netzen geeignet. Vor allem auch im Hinblic
WEB-LOUIS stärkt digitale Sichtbarkeit von Unternehmen ...
Mit WEB-LOUIS stellt sich eine moderne Digitalagentur vor, die Unternehmen dabei unterstützt, ihre digitale Präsenz gezielt aufzubauen, zu stärken und in messbaren Erfolg zu verwandeln. Der Fokus liegt auf professionellem Webdesign, leistungsstarken Webshops und wirkungsvollem Online-Marketing. Z
Was ist ein KI-Telefonassistent – und für welche Unternehmen lohnt er sich? ...
Die telefonische Erreichbarkeit bleibt für viele Unternehmen ein entscheidender Erfolgsfaktor. Dennoch gehen täglich Anrufe verloren: weil Mitarbeitende im Gespräch sind, Termine wahrnehmen oder außerhalb der Geschäftszeiten niemand erreichbar ist. Gerade für kleine und mittlere Unternehmen ka
