Investigadores de ciberseguridad de Securonix han revelado detalles de
una nueva campaña denominada PHALT#BLYX que ha aprovechado señuelos similares
a ClickFix para mostrar a errores falsos de pantalla azul de la muerte (BSoD) en
ataques dirigidos al sector hotelero europeo.
La actividad se detectó a finales de diciembre de 2025 y el objetivo final de
la campaña multietapa es distribuir un troyano de acceso remoto conocido como
DCRat.
«Para el acceso inicial, los actores de amenazas utilizan un señuelo falso
de cancelación de reservas de Booking para engañar a las víctimas y que
ejecuten comandos maliciosos de PowerShell, que obtienen y ejecutan código
remoto de forma silenciosa»,
afirmaron los investigadores
Shikha Sangwan, Akshay Gaikwad y Aaron Beardslee.
El punto de partida de la cadena de ataque es un correo electrónico de
phishing que se hace pasar por Booking y contiene un enlace a un sitio web falso (por ejemplo,
«low-house[.]com»). Los mensajes advierten a los destinatarios sobre
cancelaciones inesperadas de reservas y les instan a hacer clic en el enlace
para confirmar la cancelación.
El sitio web al que se redirige a la víctima se hace pasar por Booking y
muestra una página CAPTCHA falsa que lleva a la víctima a una página de
pantalla azul falsa con «instrucciones de recuperación» para abrir el cuadro
de diálogo Ejecutar de Windows, pegar un comando y pulsar la tecla Enter.
En realidad, esto provoca la ejecución de un comando de PowerShell que, en
última instancia, implementa DCRat.
Específicamente, esto implica un proceso de varios pasos que comienza con un
script de PowerShell que descarga un archivo de proyecto MSBuild
(«v.proj») desde «2fa-bns[.]com», que luego se ejecuta usando
«MSBuild.exe» para ejecutar una carga útil integrada responsable de
configurar las exclusiones de Microsoft Defender Antivirus para evadir la
detección, configurar la persistencia en el host en la carpeta de
Inicio y ejecutar el malware RAT después de descargarlo desde la misma
ubicación que el proyecto MSBuild.
También puede desactivar el programa de seguridad por completo si se detecta
que se ejecuta con privilegios de administrador. Si no tiene privilegios
elevados, el malware entra en un bucle que activa un mensaje de Control de
Cuentas de Usuario (UAC) de Windows cada dos segundos tres veces con la
esperanza de que la víctima, frustrada, le conceda los permisos necesarios.
Al mismo tiempo, el código de PowerShell abre la página de administración
legítima de Booking en el navegador predeterminado como mecanismo de
distracción y para dar la impresión de que la acción fue legítima.
DCRat, también llamado
Dark Crystal RAT, es un troyano .NET off-the-shell que puede recopilar información
confidencial y ampliar su funcionalidad mediante una arquitectura basada en
plugins. Está equipado para conectarse a un servidor externo, perfilar
el sistema infectado y esperar los comandos entrantes del servidor, lo que
permite a los atacantes registrar pulsaciones de teclas, ejecutar comandos
arbitrarios y entregar cargas útiles adicionales, como un minero de
criptomonedas.
La campaña es un ejemplo de cómo los actores de amenazas aprovechan técnicas
de «Living off-the-Land» (LotL), como el uso indebido de binarios de
sistema confiables como «MSBuild.exe», para avanzar a la siguiente
etapa del ataque, establecer una presencia más sólida y mantener la
persistencia en los hosts comprometidos.
«Los correos electrónicos de phishing incluyen, en particular, detalles del
cobro de habitaciones en euros, lo que sugiere que la campaña se dirige
activamente a organizaciones europeas», declaró Securonix.
«El uso del idioma ruso en el archivo ‘v.proj’ de MSBuild vincula esta
actividad con factores de amenaza rusos que utilizan DCRat».
El uso de un archivo de proyecto MSBuild personalizado para la ejecución
mediante proxy, junto con la manipulación agresiva de las exclusiones de
Windows Defender, demuestra un profundo conocimiento de los mecanismos
modernos de protección de endpoints.
Fuente:
THN