Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về một chiến dịch mới có tên PHALT#BLYX. Chiến dịch này sử dụng các mồi nhử theo phong cách ClickFix để hiển thị các bản sửa lỗi cho các lỗi màn hình xanh chết chóc (BSoD) giả mạo trong các cuộc tấn công nhắm vào ngành khách sạn châu Âu.
Mục tiêu cuối cùng của chiến dịch đa giai đoạn này là phát tán một remote access trojan, được gọi là DCRat, theo công ty an ninh mạng Securonix. Hoạt động này được phát hiện vào cuối tháng 12 năm 2025.
"Để có quyền truy cập ban đầu, các tác nhân đe dọa sử dụng mồi nhử hủy đặt phòng Booking.com giả mạo để lừa nạn nhân thực thi các lệnh PowerShell độc hại, những lệnh này âm thầm tải và thực thi mã từ xa," các nhà nghiên cứu Shikha Sangwan, Akshay Gaikwad và Aaron Beardslee cho biết.
Điểm khởi đầu của chuỗi tấn công là một phishing email mạo danh Booking.com có chứa liên kết đến một trang web giả mạo (ví dụ: "low-house[.]com"). Các tin nhắn cảnh báo người nhận về việc hủy đặt phòng ngoài mong muốn, thúc giục họ nhấp vào liên kết để xác nhận việc hủy.
Trang web mà nạn nhân được chuyển hướng đến giả mạo Booking.com và hiển thị một trang CAPTCHA giả dẫn họ đến một trang BSoD giả với "hướng dẫn khôi phục" để mở hộp thoại Windows Run, dán một lệnh và nhấn phím Enter. Trên thực tế, điều này dẫn đến việc thực thi một lệnh PowerShell cuối cùng triển khai DCRat.
Cụ thể, điều này bao gồm một quy trình nhiều bước bắt đầu bằng việc PowerShell dropper tải xuống một tệp dự án MSBuild ("v.proj") từ "2fa-bns[.]com", sau đó được thực thi bằng "MSBuild.exe" để chạy một payload nhúng chịu trách nhiệm cấu hình các loại trừ Microsoft Defender Antivirus để né tránh phát hiện, thiết lập persistence trên host trong thư mục Startup và khởi chạy phần mềm độc hại RAT sau khi tải xuống từ cùng vị trí với dự án MSBuild.
Nó cũng có khả năng vô hiệu hóa chương trình bảo mật hoàn toàn nếu phát hiện đang chạy với quyền quản trị viên. Nếu không có quyền nâng cao, phần mềm độc hại sẽ đi vào một vòng lặp kích hoạt lời nhắc Windows User Account Control (UAC) cứ sau hai giây trong ba lần với hy vọng rằng nạn nhân sẽ cấp cho nó các quyền cần thiết do quá khó chịu.
Đồng thời, mã PowerShell thực hiện các bước để mở trang quản trị Booking.com hợp pháp trong trình duyệt mặc định như một cơ chế đánh lạc hướng và để tạo ấn tượng cho nạn nhân rằng hành động đó là hợp pháp.
DCRat, còn được gọi là Dark Crystal RAT, là một trojan .NET sẵn có có thể thu thập thông tin nhạy cảm và mở rộng chức năng của nó bằng kiến trúc dựa trên plugin. Nó được trang bị để kết nối với một máy chủ bên ngoài, lập hồ sơ hệ thống bị nhiễm và chờ các lệnh đến từ máy chủ, cho phép kẻ tấn công ghi lại thao tác bàn phím (keystrokes), chạy các lệnh tùy ý và phân phối các payload bổ sung như một cryptocurrency miner.
Chiến dịch này là một ví dụ về cách các tác nhân đe dọa đang tận dụng các kỹ thuật living-off-the-land (LotL), chẳng hạn như lạm dụng các binary hệ thống đáng tin cậy như "MSBuild.exe", để chuyển cuộc tấn công sang giai đoạn tiếp theo, thiết lập chỗ đứng sâu hơn và duy trì persistence trong các host bị xâm nhập.
"Các phishing email đáng chú ý có chi tiết phí phòng bằng Euro, cho thấy chiến dịch này đang tích cực nhắm mục tiêu vào các tổ chức châu Âu," Securonix cho biết. "Việc sử dụng ngôn ngữ Nga trong tệp MSBuild 'v.proj' liên kết hoạt động này với các tác nhân đe dọa của Nga sử dụng DCRat."
"Việc sử dụng tệp dự án MSBuild tùy chỉnh để ủy quyền thực thi, cùng với việc sửa đổi mạnh mẽ các loại trừ của Windows Defender, cho thấy sự hiểu biết sâu sắc về các cơ chế bảo vệ endpoint hiện đại."
