Una ola de ciberataques extremadamente maliciosos está enfocándose en Europa. El método que utilizan para propagarse es un falso pantallazo azul de la muerte de Windows 11. Esta campaña, documentada por investigadores en ciberseguridad de Securonix, se llama PHALT#BLYX. Para llevar a cabo el ataque, los criminales recurren al phishing y a la manipulación psicológica, lo que obliga a las víctimas a instalar un virus en sus computadoras.
El sector hotelero es el principal objetivo de esta ofensiva, que llega en el peor momento, durante las festividades de fin de año. Los ataques tipo ClickFix han visto un incremento sin precedentes. Según datos de ESET, este tipo de ataque aumentó más del 500% en la primera mitad de 2025 en comparación con la segunda mitad de 2024. Esta técnica representa ahora casi el 8% de todos los ataques bloqueados por sus sistemas.
Cómo se desarrolla este ataque que va contra Windows
En este ataque dirigido actualmente a Windows, el escenario comienza con un correo electrónico fraudulento que imita a la perfección a Booking.com. El mensaje informa que la reserva ha sido cancelada por un cliente, ofreciendo un reembolso que generalmente supera los 1,000 euros. Un monto que no es casual, ya que crea un sentido de urgencia que lleva al destinatario a hacer clic sin pensar, temiendo un error o fraude. El enlace redirige a un clon del sitio de reservas, alojado en un dominio malicioso.
«Para alguien que no está familiarizado con el phishing, es indistinguible del verdadero sitio.» señala el informe de Securonix. Cuando la víctima hace clic en un botón de la página falsa, el navegador se pone en modo de pantalla completa y muestra un falso pantallazo azul de la muerte. La imitación es perfecta y esta imagen aterradora provoca un estado de pánico. «Este visual hace que la víctima crea que está sufriendo una falla severa, lo que crea un momento de pánico y altera su juicio.«, explican los investigadores.
La víctima se encuentra con dos presiones sobre sus hombros: el temor a un fraude financiero y el problema técnico en su PC. El falso pantallazo azul milagrosamente ofrece una solución. Aparecen instrucciones que piden a la víctima presionar las teclas Windows + R para abrir el cuadro de diálogo Ejecutar. Luego, el mensaje explica que debe hacer CTRL + V y luego Entrar para reparar el PC.
En realidad, estas manipulaciones copian un comando malicioso que se guarda en el portapapeles sin que el usuario lo sepa. Un comando de PowerShell que descarga un proyecto .NET malicioso y lo ejecuta mediante MSBuild.exe, una herramienta legítima de Windows que es desviada de su uso normal para ser invisible ante los antivirus. El malware desplegado es una versión altamente ofuscada de AsyncRAT. Se trata de un troyano de acceso remoto que otorga a los atacantes el control total de la PC de la víctima.
Un virus que roba todos los datos sensibles de su PC
El virus captura todo lo que se muestra en pantalla, registra cada pulsación de tecla y explora el sistema en busca de contraseñas, datos bancarios e información sensible. También es posible propagar el ataque a otras máquinas de la red para multiplicar el daño. Para un hotel que gestiona cientos de reservas con información bancaria, las consecuencias son catastróficas. Según investigaciones, esta campaña estaría relacionada con Rusia, aunque no se han divulgado detalles sobre el grupo detrás del ataque.
Los ataques ClickFix están aumentando a nivel mundial y afectan tanto a empresas como a particulares con variaciones cada vez más complejas. Además del pantallazo azul, otros utilizan sitios web falsos de parches, actualizaciones de Windows o falsos CAPTCHA de verificación.
Para protegerse, los expertos recomiendan no ejecutar comandos o scripts provenientes de fuentes no confiables, incluso si la interfaz parece legítima. Un verdadero pantallazo azul de Windows nunca muestra instrucciones de recuperación. Solo se ve un código de error o un mensaje que indica que la PC se reiniciará. También es posible que los administradores de sistemas desactiven el cuadro de diálogo Ejecutar a través de políticas de grupo o modificaciones del registro para eliminar el vector de ataque de ClickFix.
Fuente: Securonix
