Nowa kampania cyberataków PHALT#BLYX wymierzona w europejski sektor hotelarski
Badacze zajmujący się bezpieczeństwem cybernetycznym ujawnili szczegóły dotyczące nowej kampanii, nazwanej PHALT#BLYX, która wykorzystuje pułapki w stylu ClickFix do wyświetlania rzekomych rozwiązań dla fikcyjnych błędów „blue screen of death” (BSoD) w atakach skierowanych na europejski sektor hotelarski.
Celem tej wieloetapowej kampanii jest dostarczenie złośliwego oprogramowania typu trojan o nazwie DCRat, jak informuje firma zajmująca się cyberbezpieczeństwem Securonix. Działalność ta została wykryta pod koniec grudnia 2025 roku.
„Aby uzyskać początkowy dostęp, sprawcy wykorzystują fałszywe powiadomienia o anulowaniu rezerwacji z Booking.com, aby oszukać ofiary i skłonić je do wykonania złośliwych poleceń PowerShell, które cicho pobierają i uruchamiają zdalny kod” – powiedzieli badacze Shikha Sangwan, Akshay Gaikwad i Aaron Beardslee.
Mechanizm ataku
Wiodącym elementem tego łańcucha ataku jest phishingowy e-mail, który podszywa się pod Booking.com. Zawiera on link do fałszywej strony internetowej (np. „low-house[.]com”). Wiadomości ostrzegają odbiorców o niespodziewanym anulowaniu rezerwacji, namawiając do kliknięcia w link w celu potwierdzenia anulowania.
Strona, na którą ofiara zyskuje dostęp, podszywa się pod Booking.com, a następnie wyświetla fałszywą stronę CAPTCHA, która prowadzi do nieprawdziwej strony BSoD z instrukcjami naprawy, w której ofiara ma otworzyć okno dialogowe Uruchamianie Windows, wkleić komendę i nacisnąć Enter. W rzeczywistości prowadzi to do wykonania polecenia PowerShell, które ostatecznie uruchamia DCRat.
Wielostopniowy proces ataku
Szczegółowo, atak składa się z wielu kroków, które rozpoczynają się od pobrania pliku projektu MSBuild („v.proj”) z „2fa-bns[.]com” przez złośliwy program PowerShell. Plik ten jest następnie wykonywany za pomocą „MSBuild.exe”, co uruchamia osadzony ładunek odpowiedzialny za konfigurowanie wyjątków w programie Microsoft Defender Antivirus, aby uniknąć wykrycia, a także ustawia persistencję w folderze autostartu i uruchamia złośliwe oprogramowanie RAT po pobraniu go z tej samej lokalizacji, co projekt MSBuild.
Oprogramowanie ma również zdolność do dezaktywacji programu zabezpieczającego, jeśli działa z uprawnieniami administratora. Jeśli nie uzyska podwyższonych uprawnień, złośliwe oprogramowanie wchodzi w pętlę, która co dwa sekundy wywołuje monit UAC w systemie Windows, mając nadzieję, że ofiara przyzna mu niezbędne uprawnienia z powodu frustracji.
Jednocześnie kod PowerShell otwiera rzeczywistą stronę administracyjną Booking.com w domyślnej przeglądarce jako mechanizm odwracania uwagi, aby dać ofierze wrażenie, że akcja jest uzasadniona.
Potencjał DCRat
DCRat, znany również jako Dark Crystal RAT, to trojan .NET, który może zbierać wrażliwe informacje i rozszerzać swoją funkcjonalność dzięki architekturze opartej na wtyczkach. Jest zdolny do łączenia się z zewnętrznym serwerem, profilowania zainfekowanego systemu oraz oczekiwania na przychodzące komendy z serwera, co umożliwia napastnikom rejestrowanie naciśnięć klawiszy, wykonywanie dowolnych poleceń i dostarczanie dodatkowych ładunków, takich jak górnik kryptowalut.
Techniki i cele ataków
Kampania ta obrazuje, jak sprawcy cyberataków wykorzystują techniki living-off-the-land (LotL), takie jak nadużywanie zaufanych binarnych plików systemowych, takich jak „MSBuild.exe”, aby przejść do następnego etapu ataku, ustanowić głębszą pozycję oraz utrzymać persistencję w kompromitowanych hostach.
„E-maile phishingowe zawierają szczegóły opłat za pokoje w euro, co sugeruje, że kampania celowo skupia się na europejskich organizacjach” – powiedział Securonix. „Użycie języka rosyjskiego w pliku MSBuild „v.proj” łączy tę działalność z rosyjskimi czynnikami zagrożenia, które korzystają z DCRat.”
„Zastosowanie dostosowanego pliku projektu MSBuild do proxy wykonania, w połączeniu z agresywnymi manipulacjami wyjątkami Windows Defender, pokazuje głębokie zrozumienie współczesnych mechanizmów ochrony punktów końcowych.”
