O processo de infeção inicia-se com e-mails de phishing extremamente convincentes, que simulam cancelamentos de reservas com valores elevados, muitas vezes superiores a 1.000 euros. Ao clicar em hiperligações para ver os detalhes da suposta reserva, o utilizador é redirecionado para um site fraudulento. É aqui que a "magia" negra acontece: a página simula uma falha de carregamento e, após uma atualização (refresh), exibe uma animação perfeita do famoso ecrã azul do Windows, instruindo o utilizador a copiar e colar um script na consola de comandos para "reparar" o erro.

Ao seguir estas instruções, a vítima acaba por instalar o DCRat, um Trojan de Acesso Remoto (RAT) muito popular em fóruns de cibercrime russos. Este malware é uma autêntica "faca suíça" para piratas informáticos: permite registar tudo o que é digitado (keylogging), roubar palavras-passe, aceder a dados da área de transferência e até desativar proativamente o Windows Defender. Para manter o disfarce, o ataque abre uma página de reservas legítima em segundo plano, enquanto o malware se instala silenciosamente.

Os indícios técnicos recolhidos pela Securonix apontam para uma origem russa, devido à infraestrutura de comando e controlo localizada na Rússia e ao uso de código específico em cirílico. A campanha intensificou-se estrategicamente durante o outono europeu, aproveitando o pico de reservas e o stresse das equipas de receção dos hotéis, que lidam diariamente com volumes elevados de e-mails e pagamentos.

Este ataque representa uma evolução perigosa na engenharia social, pois não se limita a esconder um ficheiro executável, mas convence o próprio utilizador a "abrir a porta" ao invasor. Para as empresas do setor, o aviso é claro: nenhuma página web legítima solicitará a execução de scripts no comando "Executar" do Windows para corrigir erros de visualização. A formação dos colaboradores e a desconfiança perante e-mails de cobranças inesperadas continuam a ser as melhores linhas de defesa.