Check-in, Klick, Kompromittierung
Eine neue Phishing-Kampagne gegen die europäische Hotellerie kombiniert einen bekannten Marken-Köder mit einer vergleichsweise neuen, aber äußerst wirksamen Social-Engineering-Methode: ClickFix.

13. Januar 2026, 08:00 Uhr · Quelle: Pressebox

Eine Phishing-Kampagne infiziert Hotelmitarbeiter über gefälschte Buchungen und könnte auf weitere Sektoren ausweiten.

Ettlingen, 13.01.2026 (PresseBox) - Eine neue Phishing-Kampagne gegen die europäische Hotellerie kombiniert einen bekannten Marken-Köder mit einer vergleichsweise neuen, aber äußerst wirksamen Social-Engineering-Methode: ClickFix. Das Ergebnis ist eine glaubwürdige Nachricht, die Hotelmitarbeitende auf eine gefälschte Website leitet und sie unter Zeitdruck dazu bringt, Befehle auszuführen die am Ende zur Installation eines Remote-Access-Trojaners führen.

Gefälschte Buchungsnachrichten zielen mit „ClickFix“-Malware auf Hotelmitarbeitende

Die Kampagne, von Securonix unter dem Namen PHALT#BLYX dokumentiert, wurde Ende Dezember 2025 beobachtet. Sie nutzt eine angebliche Stornierung im Booking-Kontext, um Opfer in eine mehrstufige Infektionskette zu ziehen, die schließlich mit der Installation von DCRat endet.

Warum das Thema über die Hotellerie hinaus relevant ist

Zwar richtet sich der Angriff zunächst gegen Hotels, die Methode lässt sich jedoch problemlos auf andere Branchen übertragen. Besonders betroffen sind Organisationen mit Frontline-Mitarbeitenden, die regelmäßig Buchungen, Kundenanfragen oder zeitkritische Bestätigungen bearbeiten.

Der Erfolg des Angriffs liegt nicht in einer neuen technischen Schwachstelle, sondern darin, Dringlichkeit und vermeintliche Routineaufgaben auszunutzen genau jene reibungslosen Abläufe, die viele Unternehmen aus Effizienzgründen bewusst tolerieren.

Hinzu kommt: Booking-bezogene Köder und ClickFix-ähnliche Abläufe tauchen bereits in weiteren aktuellen Kampagnen auf, die sich gegen Hotelbetriebe und administrative Accounts richten. Der Angriff ist Teil eines größeren Musters.

So funktioniert die ClickFix-Angriffskette

Die initiale E-Mail gibt sich als bookingbezogene Kommunikation aus und fordert die Empfängerin oder den Empfänger auf, eine Stornierung zu „bestätigen“ oder zu „validieren“. Der enthaltene Link führt auf täuschend echt gestaltete Domains, die den originalen Service nachahmen.

Ab diesem Punkt greift die ClickFix-Technik. Statt eines klassischen Datei-Downloads sieht das Opfer zunächst einen angeblichen Verifizierungsschritt, etwa ein CAPTCHA, gefolgt von einer gefälschten Windows-Fehlermeldung mit angeblichen „Wiederherstellungsanweisungen“.

Diese Anweisungen leiten dazu an, den Windows-Ausführen-Dialog zu öffnen und einen vorgegebenen Befehl einzufügen. Tatsächlich wird damit eine PowerShell-basierte Stufe gestartet, die weitere Payloads nachlädt und schließlich DCRat installiert. In der beobachteten Kampagne wurde MSBuild als Teil der Ausführungskette missbraucht.

Die Methode ist deshalb so effektiv, weil sie die natürliche Skepsis gegenüber Downloads umgeht. Aus Sicht der Nutzenden wird kein Programm installiert, sondern ein vermeintliches Systemproblem behoben.

Worauf Verteidiger achten sollten

Solche Kampagnen hinterlassen oft weniger technische Signaturen als vielmehr auffällige Verhaltensmuster. Entscheidend sind daher nicht einzelne Malware-Hashes, sondern die Schritte, die die Kompromittierung ermöglichen:

- Auffällige Häufung von E-Mails mit angeblichen Booking-Stornierungen, insbesondere an Rezeptionen oder Reservierungsadressen
- Webzugriffe von diesen Systemen auf Lookalike-Domains, die Buchungsprozesse imitieren
- Verdächtige PowerShell-Ausführungen aus einer Benutzer-Session kurz nach dem Besuch der Köderseite
- Ungewöhnliche MSBuild-Aktivitäten auf Endgeräten ohne Entwicklerkontext, vor allem in zeitlicher Nähe zu PowerShell-Nutzung

ClickFix-Kampagnen entwickeln sich schnell weiter. Domains wechseln, Köder werden angepasst und die Payload-Infrastruktur ändert sich laufend. Genau hier zeigt Cyber Threat Intelligence ihren größten Mehrwert, wenn sie nicht als Informationsflut, sondern als konkrete Handlungsgrundlage bereitgestellt wird.

Wie Cyber Threat Intelligence konkret hilft

Moderne Cybersicherheit erfordert eine proaktive, intelligence-getriebene Strategie. Angreifer innovieren ständig und nutzen Lücken Für Unternehmen in der Hotellerie und ebenso für andere serviceintensive Branchen unterstützt CTI unter anderem bei:

- der Identifikation und Nachverfolgung neu entstehender Lookalike-Infrastrukturen und Phishing-Domains
- der Erkennung neuer Auslieferungsmuster, etwa der Abfolge Fake-CAPTCHA → Fake-Fehlermeldung → Run/PowerShell
- der Einordnung eingesetzter Schadsoftware-Familien und ihrer typischen Einsatzszenarien, etwa Credential-Diebstahl, Fernzugriff oder Folgeangriffe

Besonders relevant ist zudem das Risiko von Folgeaktivitäten nach der Erstinfektion. Gestohlene Zugangsdaten werden häufig weiterverwendet oder verkauft. Eine nahezu Echtzeit-Erkennung von kompromittierten Credentials ermöglicht es, Passwörter zurückzusetzen, Sessions zu entziehen und eine Wiederverwendung zu verhindern, bevor weiterer Schaden entsteht.

Sicherheit / Phishing / Hotellerie / ClickFix / Malware / Cybersicherheit / Social Engineering
[pressebox.de] · 13.01.2026 · 08:00 Uhr
[0 Kommentare]