Navigation
Les derniers articles
Suivez en direct

Arnaque Booking : Un faux écran bleu propage le malware DCRat

Gros plan sur un ordinateur portable argenté ouvert, posé sur un bureau en bois. L'écran affiche le message d'erreur "écran bleu" de Windows 10/11 avec un grand émoticône triste ":(", le texte "Votre PC a rencontré un problème et doit redémarrer", une progression indiquant "20% effectués", un QR code pour plus d'informations et le code d'arrêt spécifique "CRITICAL_PROCESS_DIED". Le clavier rétroéclairé est visible et l'arrière-plan du bureau est flou.
Des pirates russes ciblent l’hôtellerie via une arnaque Booking sophistiquée. Ce leurre déclenche un écran bleu qui force la main aux réceptionnistes pour installer le cheval de Troie DCRat.

TL;DR : L’essentiel

  • Les attaquants envoient des courriels d’annulation de réservation urgents mentionnant des frais supérieurs à 1 000 euros, incitant le personnel hôtelier paniqué à cliquer sur un lien frauduleux imitant parfaitement l’interface de Booking.com.
  • Une fausse erreur de chargement pousse la victime à actualiser la page, déclenchant une simulation d’écran bleu de la mort qui exige l’exécution manuelle d’un script malveillant via la fenêtre Exécuter de Windows.
  • Les experts en sécurité attribuent cette offensive à des cybercriminels russes, basant leur analyse sur la géolocalisation des infrastructures et la présence de chaînes de débogage en langue native dans le code du projet.
  • L’attaque installe le cheval de Troie DCRat, un logiciel malveillant modulaire capable d’enregistrer les frappes au clavier, de voler les mots de passe et de miner des cryptomonnaies tout en restant invisible aux antivirus classiques.

La fin de l’année 2025 marque une recrudescence inquiétante des cyberattaques visant spécifiquement le secteur de l’hôtellerie en Europe. Profitant des périodes de forte affluence touristique, une nouvelle campagne baptisée PHALT#BLYX exploite la fatigue et l’urgence ressenties par le personnel de réception. Contrairement aux attaques automatisées classiques, cette offensive repose sur une manipulation psychologique fine, transformant les employés en complices involontaires de l’infection de leur propre réseau informatique.

Arnaque Booking et simulation de panne critique

L’attaque débute par un scénario conçu pour provoquer une panique immédiate chez le réceptionniste de l’hôtel. Les pirates envoient un courriel intitulé « Annulation de réservation », faisant état de frais d’annulation exorbitants, souvent supérieurs à 1 000 euros, pour attirer l’attention sur une perte financière supposée. Comme le rapporte The Record, le bouton « Voir les détails » redirige la victime vers une copie haute fidélité du site Booking.com. Cependant, au lieu d’afficher la réservation, la page présente un message d’erreur indiquant que « le chargement prend trop de temps » et invite l’utilisateur à cliquer sur un bouton « Actualiser la page ».

C’est à cet instant que le piège technique se referme. L’action ne rafraîchit pas le navigateur mais le bascule en mode plein écran pour afficher une imitation convaincante du célèbre « Blue Screen of Death » (BSoD) de Windows, signalant une fausse panne système critique. Pour sortir de cette impasse visuelle, de fausses instructions techniques apparaissent à l’écran. Selon l’analyse technique relayée par Bleeping Computer, la victime est guidée pour ouvrir la boîte de dialogue « Exécuter » de Windows, puis presser CTRL+V et Entrée. Sans le savoir, l’employé colle et exécute un script PowerShell malveillant préalablement copié dans son presse-papier par le site frauduleux. Cette technique, connue sous le nom de « ClickFix », contourne les barrières de sécurité en utilisant les actions manuelles de l’utilisateur comme vecteur d’autorisation.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord
Photographie montrant un réceptionniste d'hôtel au visage horrifié, assis à son bureau la nuit. Il regarde deux écrans d'ordinateur : celui de gauche affiche un faux écran bleu de la mort (BSoD) avec le message "CLICKFIX ERROR: CRITICAL SYSTEM FAILURE. RUN MSBUILD.EXE + CTRL+V.", tandis que celui de droite montre un courriel frauduleux de Booking.com et une fenêtre de script PowerShell. Sa main est posée sur la souris, illustrant le moment où il exécute la commande malveillante installant le cheval de Troie DCRat.

DCRat : Un espion russe au cœur du système

Une fois la commande exécutée, une chaîne d’infection complexe se met en place pour garantir la persistance du logiciel malveillant. Pendant qu’une véritable page de réservation s’ouvre pour rassurer la victime, le script abuse de l’outil légitime MSBuild.exe pour compiler et lancer le malware en arrière-plan. Ce procédé, appelé « Living off the Land », rend la détection particulièrement difficile pour les antivirus traditionnels. D’après les observations détaillées par Security Affairs, la charge utile finale est le cheval de Troie DCRat. Pour survivre aux redémarrages, le malware crée un fichier de raccourci Internet discret (.url) directement dans le dossier de démarrage de Windows.

Ce logiciel malveillant offre ensuite aux attaquants un contrôle total sur la machine infectée. Il est capable d’enregistrer les frappes au clavier pour voler des identifiants, d’extraire le contenu du presse-papier ou même de détourner la puissance de l’ordinateur pour miner de la cryptomonnaie. Les chercheurs ont identifié des liens clairs avec la Russie : outre la géolocalisation des serveurs de commande, les fichiers du projet contiennent des chaînes de débogage en russe, et le malware DCRat est une marchandise courante sur les forums souterrains russophones. Cette campagne illustre une évolution sophistiquée où l’ingénierie sociale supplante la force brute technique.

Pour en savoir plus sur les détails techniques de cette attaque

Analyse de PHALT#BLYX : Comment de faux écrans bleus et des outils de construction fiables sont utilisés pour créer une infection par un logiciel malveillant

Analyse de PHALT#BLYX : Comment de faux écrans bleus et des outils de construction fiables sont utilisés pour créer une infection par un logiciel malveillant

Lire la suite sur securonix.com
Analyse de PHALT#BLYX : Comment de faux écrans bleus et des outils de construction fiables sont utilisés pour créer une infection par un logiciel malveillant

FAQ : Mieux comprendre les menaces

Qu’est-ce que l’ingénierie sociale ?

C’est une méthode de cyberattaque qui cible la psychologie humaine plutôt que les failles techniques. L’objectif est de manipuler la victime (par la peur, l’urgence ou la curiosité) pour qu’elle commette une erreur de sécurité, comme donner un mot de passe ou exécuter un fichier infecté, contournant ainsi les pare-feux les plus robustes.

Qu’est-ce qu’un cheval de Troie ?

Inspiré du mythe grec, un cheval de Troie (ou Trojan) est un logiciel malveillant qui se déguise en programme légitime ou utile pour inciter l’utilisateur à l’installer. Contrairement à un virus, il ne se reproduit pas tout seul, mais ouvre une « porte dérobée » permettant au pirate de prendre le contrôle de l’ordinateur à distance.

Que signifie le procédé « Living off the Land » ?

Littéralement « vivre sur le pays », cette stratégie consiste à utiliser les outils légitimes déjà présents dans le système d’exploitation (comme PowerShell ou MSBuild dans Windows) pour mener l’attaque. En n’introduisant pas de nouveaux fichiers suspects, le pirate se fond dans l’activité normale de l’ordinateur, rendant l’attaque très difficile à détecter pour les antivirus classiques.

Serveurs, API, outils de veille.
DCOD est un projet indépendant sans revenu. L'infra a un coût. Participez aux frais.

☕ Contribuer aux frais
Etiquettes

Fondateur et éditeur de DCOD - Restons en contact !

A lire également

Des idées de lecture recommandées par DCOD

Page frontale du livre Les Secrets du Darknet

Les Secrets du Darknet

Écrit par DarkExplorer, un ancien hacker repenti, ce guide complet vous offre une plongée fascinante dans les coulisses du Darknet, ainsi que les outils et les techniques nécessaires pour naviguer en toute sécurité dans cet univers souvent dangereux et mystérieux.

📘 Voir sur Amazon

Cybersécurité de 0 à Expert

Vous entendez parler de cyberattaques tous les jours mais vous ne savez pas vraiment comment elles fonctionnent ? Vous voulez comprendre le monde de la cybersécurité sans jargon compliqué ni prérequis techniques ? Ce livre est votre point de départ idéal. Cybersécurité de 0 à Expert est un guide pas à pas qui vous emmène du niveau débutant jusqu’aux bases avancées, en expliquant chaque concept de façon claire et accessible.

📘 Voir sur Amazon
Page frontale du livre Cybersécurité : tests d’intrusion des systèmes d’informations web

Cybersécurité : tests d’intrusion des systèmes d’informations web: Le guide des vulnérabilités web

Amplifiez vos compétences en cybersécurité avec ce guide exhaustif sur le pentesting et le bug bounty ! Conçu pour les pentesters, les bug hunters, les développeurs, et en fait toute personne curieuse de plonger dans le monde fascinant de la cybersécurité.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.