Cybersecurity-onderzoekers hebben details bekendgemaakt van een nieuwe campagne genaamd PHALT#BLYX dat gebruik heeft gemaakt van ClickFix-achtige lokmiddelen om oplossingen weer te geven voor valse Blue Screen of Death (BSoD)-fouten bij aanvallen gericht op de Europese horecasector.
Het einddoel van de uit meerdere fasen bestaande campagne is het leveren van een trojan voor externe toegang, bekend als DCRat, aldus cyberbeveiligingsbedrijf Securonix. De activiteit werd eind december 2025 gedetecteerd.
“Voor de eerste toegang gebruiken de bedreigingsactoren een valse lokmiddel voor het annuleren van reserveringen van Booking.com om slachtoffers te misleiden tot het uitvoeren van kwaadaardige PowerShell-commando’s, die in stilte externe code ophalen en uitvoeren”, aldus onderzoekers Shikha Sangwan, Akshay Gaikwad en Aaron Beardslee.
Het startpunt van de aanvalsketen is een phishing-e-mail die zich voordoet als Booking.com en die een link bevat naar een nepwebsite (bijvoorbeeld “low-house(.)com”). De berichten waarschuwen ontvangers voor onverwachte annuleringen van reserveringen en dringen er bij hen op aan op de link te klikken om de annulering te bevestigen.
De website waarnaar het slachtoffer wordt doorverwezen, doet zich voor als Booking.com en biedt een valse CAPTCHA-pagina aan die hen naar een valse BSoD-pagina leidt met “herstelinstructies” om het Windows Run-dialoogvenster te openen, een opdracht te plakken en op Enter te drukken. In werkelijkheid resulteert dit in de uitvoering van een PowerShell-opdracht die uiteindelijk DCRat inzet.
Concreet houdt dit een uit meerdere stappen bestaand proces in dat begint met het downloaden door de PowerShell-dropper van een MSBuild-projectbestand (“v.proj”) van “2fa-bns(.)com”, dat vervolgens wordt uitgevoerd met behulp van “MSBuild.exe” om een ingebedde payload uit te voeren die verantwoordelijk is voor het configureren van Microsoft Defender Antivirus-uitsluitingen om detectie te omzeilen, het instellen van persistentie op de host in de map Opstarten en het starten van de RAT-malware nadat deze is gedownload vanaf dezelfde locatie als de MSBuild-project.
Het is ook in staat om het beveiligingsprogramma helemaal uit te schakelen als blijkt dat het met beheerdersrechten draait. Als de malware geen verhoogde rechten heeft, komt de malware in een lus terecht die elke twee seconden drie keer een Windows User Account Control (UAC)-prompt activeert, in de hoop dat het slachtoffer hem uit pure frustratie de benodigde rechten zal verlenen.
Tegelijkertijd onderneemt de PowerShell-code stappen om de legitieme beheerderspagina van Booking.com in de standaardbrowser te openen als afleidingsmechanisme en om het slachtoffer de indruk te geven dat de actie legitiem was.
DCRat, ook wel Dark Crystal RAT genoemd, is een off-the-shell .NET trojan die gevoelige informatie kan verzamelen en de functionaliteit ervan kan uitbreiden door middel van een op plug-ins gebaseerde architectuur. Het is uitgerust om verbinding te maken met een externe server, het geïnfecteerde systeem te profileren en binnenkomende opdrachten van de server af te wachten, waardoor de aanvallers toetsaanslagen kunnen registreren, willekeurige opdrachten kunnen uitvoeren en extra ladingen kunnen leveren, zoals een cryptocurrency-mijnwerker.
De campagne is een voorbeeld van hoe bedreigingsactoren gebruik maken van Living-off-the-land (LotL)-technieken, zoals het misbruiken van vertrouwde binaire bestanden zoals ‘MSBuild.exe’, om de aanval naar de volgende fase te brengen, diepere voet aan de grond te krijgen en de persistentie binnen gecompromitteerde hosts te behouden.
“De phishing-e-mails bevatten met name details over de kamerkosten in euro’s, wat erop wijst dat de campagne zich actief richt op Europese organisaties”, aldus Securonix. “Het gebruik van de Russische taal binnen het ‘v.proj’ MSBuild-bestand koppelt deze activiteit aan Russische dreigingsfactoren met behulp van DCRat.”
“Het gebruik van een aangepast MSBuild-projectbestand voor proxy-uitvoering, gecombineerd met agressief knoeien met Windows Defender-uitsluitingen, demonstreert een diep begrip van moderne eindpuntbeschermingsmechanismen.”
