Investigadores de ciberseguridad de Securonixhan revelado detalles de una nueva campaña denominada PHALT#BLYX que ha aprovechado señuelos similares a ClickFix para mostrar a errores falsos de pantalla azul de la muerte (BSoD) en ataques dirigidos al sector hotelero europeo.
La actividad se detectó a finales de diciembre de 2025 y el objetivo final de la campaña multietapa es distribuir un troyano de acceso remoto conocido como DCRat. «Para el acceso inicial, los actores de amenazas utilizan un señuelo falso de cancelación de reservas de Booking para engañar a las víctimas y que ejecuten comandos maliciosos de PowerShell, que obtienen y ejecutan código remoto de forma silenciosa», afirmaron los investigadores Shikha Sangwan, Akshay Gaikwad y Aaron Beardslee.
El punto de partida de la cadena de ataque es un correo electrónico de phishing que se hace pasar por Booking y contiene un enlace a un sitio web falso (por ejemplo, «low-house[.]com»). Los mensajes advierten a los destinatarios sobre cancelaciones inesperadas de reservas y les instan a hacer clic en el enlace para confirmar la cancelación.
El sitio web al que se redirige a la víctima se hace pasar por Booking y muestra una página CAPTCHA falsa que lleva a la víctima a una página de pantalla azul falsa con «instrucciones de recuperación» para abrir el cuadro de diálogo Ejecutar de Windows, pegar un comando y pulsar la tecla Enter. En realidad, esto provoca la ejecución de un comando de PowerShell que, en última instancia, implementa DCRat.
Específicamente, esto implica un proceso de varios pasos que comienza con un script de PowerShell que descarga un archivo de proyecto MSBuild («v.proj») desde «2fa-bns[.]com», que luego se ejecuta usando «MSBuild.exe» para ejecutar una carga útil integrada responsable de configurar las exclusiones de Microsoft Defender Antivirus para evadir la detección, configurar la persistencia en el host en la carpeta de Inicio y ejecutar el malware RAT después de descargarlo desde la misma ubicación que el proyecto MSBuild.
También puede desactivar el programa de seguridad por completo si se detecta que se ejecuta con privilegios de administrador. Si no tiene privilegios elevados, el malware entra en un bucle que activa un mensaje de Control de Cuentas de Usuario (UAC) de Windows cada dos segundos tres veces con la esperanza de que la víctima, frustrada, le conceda los permisos necesarios.
Al mismo tiempo, el código de PowerShell abre la página de administración legítima de Booking en el navegador predeterminado como mecanismo de distracción y para dar la impresión de que la acción fue legítima.
DCRat, también llamado Dark Crystal RAT, es un troyano .NET off-the-shell que puede recopilar información confidencial y ampliar su funcionalidad mediante una arquitectura basada en plugins. Está equipado para conectarse a un servidor externo, perfilar el sistema infectado y esperar los comandos entrantes del servidor, lo que permite a los atacantes registrar pulsaciones de teclas, ejecutar comandos arbitrarios y entregar cargas útiles adicionales, como un minero de criptomonedas.
La campaña es un ejemplo de cómo los actores de amenazas aprovechan técnicas de «Living off-the-Land» (LotL), como el uso indebido de binarios de sistema confiables como «MSBuild.exe», para avanzar a la siguiente etapa del ataque, establecer una presencia más sólida y mantener la persistencia en los hosts comprometidos.
«Los correos electrónicos de phishing incluyen, en particular, detalles del cobro de habitaciones en euros, lo que sugiere que la campaña se dirige activamente a organizaciones europeas», declaró Securonix. «El uso del idioma ruso en el archivo ‘v.proj’ de MSBuild vincula esta actividad con factores de amenaza rusos que utilizan DCRat».
El uso de un archivo de proyecto MSBuild personalizado para la ejecución mediante proxy, junto con la manipulación agresiva de las exclusiones de Windows Defender, demuestra un profundo conocimiento de los mecanismos modernos de protección de endpoints.
Fuente y redacción: segu-info.com.ar
