DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
Navigation
  • Cyber-attaques / fraudes
  • Intelligence artificielle
  • Failles / vulnérabilités
  • Pertes / vols de données
  • Cybercrime
  • Législation
Les derniers articles
  • Un homme dans la trentaine, vêtu d'une chemise en lin blanche et d'un pantalon beige, marche sur un trottoir parisien devant des bâtiments haussmanniens et une terrasse de café ensoleillée. Il porte des lunettes de soleil connectées noires, identifiables comme des Ray-Ban Meta. La lumière du soleil couchant éclaire la scène, et l'arrière-plan est légèrement flou, montrant des arbres et des voitures.
    Les lunettes connectées bousculent la protection des données
  • Illustration symbolisant le cyberespionnage russe et la réplique par des sanctions de l'Europe : une silhouette sombre de hacker encapuchonné se superpose en transparence sur le drapeau de la Russie, avec des lignes de code informatique affichées à l'écran et le logo dcod.ch en bas à droite.
    Cyberespionnage russe : l’Europe réplique par des sanctions
  • Illustration futuriste pour la veille IA : un cerveau numérique bleu translucide, parcouru de circuits dorés, est au centre d'un tunnel de lumière dynamique composé de flux de données rapides bleus, violets et or, symbolisant la vitesse du progrès technologique.
    IA & Cybersécurité : les 14 actus clés du 15 juillet 2026
  • Page de garde du Rapport annuel consolidé 2025 de l'ENISA à côté d'une carte en relief illustrant comment l'Europe s'unit, avec le logo de DCOD.
    Rapport annuel consolidé 2025 de l’ENISA : l’Europe s’unit
  • Photographie d'illustration pour la veille cyberattaque : une silhouette portant un sweat à capuche noir est assise de dos devant plusieurs écrans d'ordinateur affichant du code vert complexe et des données. L'environnement est une salle serveur sombre, éclairée par les lueurs bleues des écrans et des lumières oranges en arrière-plan, évoquant un hacker ou un analyste en action.
    Cyberattaques : les 15 incidents majeurs du 14 juillet 2026
Suivez en direct
DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
Cybersécurité • IA • Tech

Capter l'info, retenir l'essentiel. Pour les pros et passionnés.

DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
  • Cyberattaques
  • Vulnérabilités
  • Vols de données
  • Cybercrime
  • IA & Tech
Cybersécurité • IA • Tech

Capter l'info, retenir l'essentiel. Pour les pros et passionnés.

  • Cyber-attaques / fraudes

Arnaque Booking : Un faux écran bleu propage le malware DCRat

  • Marc Barbezat
  • 12 janvier 2026
  • 4 minutes de lecture
Gros plan sur un ordinateur portable argenté ouvert, posé sur un bureau en bois. L'écran affiche le message d'erreur "écran bleu" de Windows 10/11 avec un grand émoticône triste ":(", le texte "Votre PC a rencontré un problème et doit redémarrer", une progression indiquant "20% effectués", un QR code pour plus d'informations et le code d'arrêt spécifique "CRITICAL_PROCESS_DIED". Le clavier rétroéclairé est visible et l'arrière-plan du bureau est flou.
Des pirates russes ciblent l’hôtellerie via une arnaque Booking sophistiquée. Ce leurre déclenche un écran bleu qui force la main aux réceptionnistes pour installer le cheval de Troie DCRat.

TL;DR : L’essentiel

  • Les attaquants envoient des courriels d’annulation de réservation urgents mentionnant des frais supérieurs à 1 000 euros, incitant le personnel hôtelier paniqué à cliquer sur un lien frauduleux imitant parfaitement l’interface de Booking.com.
  • Une fausse erreur de chargement pousse la victime à actualiser la page, déclenchant une simulation d’écran bleu de la mort qui exige l’exécution manuelle d’un script malveillant via la fenêtre Exécuter de Windows.
  • Les experts en sécurité attribuent cette offensive à des cybercriminels russes, basant leur analyse sur la géolocalisation des infrastructures et la présence de chaînes de débogage en langue native dans le code du projet.
  • L’attaque installe le cheval de Troie DCRat, un logiciel malveillant modulaire capable d’enregistrer les frappes au clavier, de voler les mots de passe et de miner des cryptomonnaies tout en restant invisible aux antivirus classiques.
▾ Sommaire
TL;DR : L’essentielArnaque Booking et simulation de panne critiqueDCRat : Un espion russe au cœur du systèmePour en savoir plus sur les détails techniques de cette attaqueAnalyse de PHALT#BLYX : Comment de faux écrans bleus et des outils de construction fiables sont utilisés pour créer une infection par un logiciel malveillantFAQ : Mieux comprendre les menacesQu’est-ce que l’ingénierie sociale ?Qu’est-ce qu’un cheval de Troie ?Que signifie le procédé « Living off the Land » ?

La fin de l’année 2025 marque une recrudescence inquiétante des cyberattaques visant spécifiquement le secteur de l’hôtellerie en Europe. Profitant des périodes de forte affluence touristique, une nouvelle campagne baptisée PHALT#BLYX exploite la fatigue et l’urgence ressenties par le personnel de réception. Contrairement aux attaques automatisées classiques, cette offensive repose sur une manipulation psychologique fine, transformant les employés en complices involontaires de l’infection de leur propre réseau informatique.

Arnaque Booking et simulation de panne critique

L’attaque débute par un scénario conçu pour provoquer une panique immédiate chez le réceptionniste de l’hôtel. Les pirates envoient un courriel intitulé « Annulation de réservation », faisant état de frais d’annulation exorbitants, souvent supérieurs à 1 000 euros, pour attirer l’attention sur une perte financière supposée. Comme le rapporte The Record, le bouton « Voir les détails » redirige la victime vers une copie haute fidélité du site Booking.com. Cependant, au lieu d’afficher la réservation, la page présente un message d’erreur indiquant que « le chargement prend trop de temps » et invite l’utilisateur à cliquer sur un bouton « Actualiser la page ».

C’est à cet instant que le piège technique se referme. L’action ne rafraîchit pas le navigateur mais le bascule en mode plein écran pour afficher une imitation convaincante du célèbre « Blue Screen of Death » (BSoD) de Windows, signalant une fausse panne système critique. Pour sortir de cette impasse visuelle, de fausses instructions techniques apparaissent à l’écran. Selon l’analyse technique relayée par Bleeping Computer, la victime est guidée pour ouvrir la boîte de dialogue « Exécuter » de Windows, puis presser CTRL+V et Entrée. Sans le savoir, l’employé colle et exécute un script PowerShell malveillant préalablement copié dans son presse-papier par le site frauduleux. Cette technique, connue sous le nom de « ClickFix », contourne les barrières de sécurité en utilisant les actions manuelles de l’utilisateur comme vecteur d’autorisation.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord
Photographie montrant un réceptionniste d'hôtel au visage horrifié, assis à son bureau la nuit. Il regarde deux écrans d'ordinateur : celui de gauche affiche un faux écran bleu de la mort (BSoD) avec le message "CLICKFIX ERROR: CRITICAL SYSTEM FAILURE. RUN MSBUILD.EXE + CTRL+V.", tandis que celui de droite montre un courriel frauduleux de Booking.com et une fenêtre de script PowerShell. Sa main est posée sur la souris, illustrant le moment où il exécute la commande malveillante installant le cheval de Troie DCRat.

DCRat : Un espion russe au cœur du système

Une fois la commande exécutée, une chaîne d’infection complexe se met en place pour garantir la persistance du logiciel malveillant. Pendant qu’une véritable page de réservation s’ouvre pour rassurer la victime, le script abuse de l’outil légitime MSBuild.exe pour compiler et lancer le malware en arrière-plan. Ce procédé, appelé « Living off the Land », rend la détection particulièrement difficile pour les antivirus traditionnels. D’après les observations détaillées par Security Affairs, la charge utile finale est le cheval de Troie DCRat. Pour survivre aux redémarrages, le malware crée un fichier de raccourci Internet discret (.url) directement dans le dossier de démarrage de Windows.

Ce logiciel malveillant offre ensuite aux attaquants un contrôle total sur la machine infectée. Il est capable d’enregistrer les frappes au clavier pour voler des identifiants, d’extraire le contenu du presse-papier ou même de détourner la puissance de l’ordinateur pour miner de la cryptomonnaie. Les chercheurs ont identifié des liens clairs avec la Russie : outre la géolocalisation des serveurs de commande, les fichiers du projet contiennent des chaînes de débogage en russe, et le malware DCRat est une marchandise courante sur les forums souterrains russophones. Cette campagne illustre une évolution sophistiquée où l’ingénierie sociale supplante la force brute technique.

Pour en savoir plus sur les détails techniques de cette attaque

Analyse de PHALT#BLYX : Comment de faux écrans bleus et des outils de construction fiables sont utilisés pour créer une infection par un logiciel malveillant

Analyse de PHALT#BLYX : Comment de faux écrans bleus et des outils de construction fiables sont utilisés pour créer une infection par un logiciel malveillant

Lire la suite sur securonix.com
Analyse de PHALT#BLYX : Comment de faux écrans bleus et des outils de construction fiables sont utilisés pour créer une infection par un logiciel malveillant

FAQ : Mieux comprendre les menaces

Qu’est-ce que l’ingénierie sociale ?

C’est une méthode de cyberattaque qui cible la psychologie humaine plutôt que les failles techniques. L’objectif est de manipuler la victime (par la peur, l’urgence ou la curiosité) pour qu’elle commette une erreur de sécurité, comme donner un mot de passe ou exécuter un fichier infecté, contournant ainsi les pare-feux les plus robustes.

Qu’est-ce qu’un cheval de Troie ?

Inspiré du mythe grec, un cheval de Troie (ou Trojan) est un logiciel malveillant qui se déguise en programme légitime ou utile pour inciter l’utilisateur à l’installer. Contrairement à un virus, il ne se reproduit pas tout seul, mais ouvre une « porte dérobée » permettant au pirate de prendre le contrôle de l’ordinateur à distance.

Que signifie le procédé « Living off the Land » ?

Littéralement « vivre sur le pays », cette stratégie consiste à utiliser les outils légitimes déjà présents dans le système d’exploitation (comme PowerShell ou MSBuild dans Windows) pour mener l’attaque. En n’introduisant pas de nouveaux fichiers suspects, le pirate se fond dans l’activité normale de l’ordinateur, rendant l’attaque très difficile à détecter pour les antivirus classiques.

Cette veille vous a fait gagner du temps ?
Aidez DCOD à payer ses serveurs et à rester 100% gratuit et indépendant.

☕ Offrir un café
Etiquettes
  • Booking
  • clickfix
  • DCRat
  • malware hôtellerie
  • phishing
  • trojan bancaire
Marc Barbezat

Fondateur et éditeur de DCOD - Restons en contact !

A lire également
Illustration symbolisant le cyberespionnage russe et la réplique par des sanctions de l'Europe : une silhouette sombre de hacker encapuchonné se superpose en transparence sur le drapeau de la Russie, avec des lignes de code informatique affichées à l'écran et le logo dcod.ch en bas à droite.
Lire l'article

Cyberespionnage russe : l’Europe réplique par des sanctions

Un ordinateur portable ouvert affichant différents jeux de la plateforme Roblox, illustrant une enquête sur les méthodes par lesquelles des pirates s'emparent de créations entières et de leurs revenus.
Lire l'article

Roblox : des pirates s’emparent maintenant de créations entières

Un cheval ailé blanc représentant le spyware Pegasus qui pirate le téléphone portable d'un enquêteur européen, sur fond de connexions informatiques bleues.
Lire l'article

Le spyware Pegasus pirate le téléphone d’un enquêteur européen

Des idées de lecture recommandées par DCOD

Page frontale du livre Les Secrets du Darknet

Les Secrets du Darknet

Écrit par DarkExplorer, un ancien hacker repenti, ce guide complet vous offre une plongée fascinante dans les coulisses du Darknet, ainsi que les outils et les techniques nécessaires pour naviguer en toute sécurité dans cet univers souvent dangereux et mystérieux.

📘 Voir sur Amazon
Page frontale du livre 100 Faits à Savoir sur la Cybersécurité

Les fondamentaux de la cybersécurité: Comprendre et appliquer les principes essentiels

À l’ère du numérique, la sécurité informatique est un enjeu crucial pour toute organisation.Sécurité des systèmes et des réseaux, du cloud, des applications, sécurité défensive et offensive, piratage psychologique…

📘 Voir sur Amazon
Page frontale du livre Cybersécurité: Le guide du débutant

Cybersécurité: Le guide du débutant

Si vous voulez un guide étape par étape sur la cybersécurité, plus un cours gratuit complet sur la sécurité en ligne, plus un accès à une formidable communauté de hackers, ce livre est pour vous !

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article peuvent provenir de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur le cadre d’utilisation.

DCOD | Cybersécurité • IA • Tech DCOD | Cybersécurité • IA • Tech
  • Marc Barbezat
  • À propos de DCOD / Contact
  • Politique de confidentialité
Veille stratégique Cybersécurité, IA & Tech. Produite par Marc Barbezat.

Saisissez vos mots-clés de recherche et appuyez sur Entrée.

DCOD reste gratuit grâce à vous
Vos cafés aident à faire vivre la veille et à couvrir les frais techniques. Merci !
Offrir un café ☕
☕

Soutenir la veille DCOD

DCOD est un site 100% indépendant, maintenu en accès libre grâce à ses lecteurs.
Si cette veille cyber vous est utile, un coup de pouce mensuel aide à la faire vivre et à couvrir les frais techniques.

☕ Soutenir chaque mois