 |
| Source : Sécuronix |
Des chercheurs en cybersécurité ont révélé les détails d'une nouvelle campagne appelée PHALT#BLYX qui a exploité des pots de miel de style ClickFix pour afficher des correctifs pour les fausses erreurs d'écran bleu de la mort (BSoD) dans les attaques ciblant le secteur hôtelier européen.
L'objectif ultime de cette campagne en plusieurs étapes est de fournir un cheval de Troie d'accès à distance connu sous le nom de DCRat, selon la société de cybersécurité Securonix. L’activité a été détectée fin décembre 2025.
“Pour l'accès initial, les acteurs malveillants utilisent un faux leurre d'annulation de réservation Booking.com pour inciter les victimes à exécuter des commandes PowerShell malveillantes, qui recherchent et exécutent silencieusement du code à distance”, ont déclaré les chercheurs Shikha Sangwan, Akshay Gaikwad et Aaron Beardslee.
Le point de départ de la chaîne d'attaques est un e-mail de phishing qui usurpe l'identité de Booking.com et contient un lien vers un faux site Web (par exemple “low-house[.]com”). Les messages avertissent les destinataires des annulations de réservation inattendues, les invitant à cliquer sur le lien pour confirmer l'annulation.
Le site Web vers lequel la victime est redirigée se fait passer pour Booking.com et propose une fausse page CAPTCHA qui la dirige vers une fausse page BSoD avec des « instructions de récupération » pour ouvrir la boîte de dialogue Exécuter de Windows, coller une commande et appuyer sur la touche Entrée. Cela aboutit en fait à l’exécution d’une commande PowerShell qui implémente finalement DCRat.
Plus précisément, cela implique un processus en plusieurs étapes qui commence lorsque le dropper PowerShell télécharge un fichier de projet MSBuild (« v.proj ») à partir de « 2fa-bns ».[.]com”, qui est ensuite exécuté à l'aide de “MSBuild.exe” pour exécuter une charge utile intégrée chargée de configurer les exclusions de Microsoft Defender Antivirus pour échapper à la détection, de configurer la persistance sur l'hôte dans le dossier de démarrage et de lancer le malware RAT après l'avoir téléchargé à partir du même emplacement que le projet MSBuild.
Il est également capable de désactiver complètement le programme de sécurité s'il s'exécute avec les privilèges d'administrateur. Si vous ne disposez pas de droits élevés, le logiciel malveillant entre dans une boucle qui déclenche trois fois une invite de contrôle de compte d'utilisateur (UAC) Windows toutes les deux secondes dans l'espoir que la victime lui accordera les autorisations nécessaires par pure frustration.
Dans le même temps, le code PowerShell prend des mesures pour ouvrir la page d'administration légitime de Booking.com dans le navigateur par défaut comme mécanisme de distraction et pour donner à la victime l'impression que l'action était légitime.
DCRat, également appelé DarkCrystal RAT et variante d'AsyncRAT, est un cheval de Troie .NET disponible dans le commerce qui peut collecter des informations sensibles et étendre ses fonctionnalités à l'aide d'une architecture basée sur un plugin. Il est équipé pour se connecter à un serveur externe, profiler le système infecté et attendre les commandes entrantes du serveur, permettant aux attaquants d'enregistrer les frappes au clavier, d'exécuter des commandes arbitraires et de fournir des charges utiles supplémentaires comme un mineur de crypto-monnaie.
La campagne est un exemple de la manière dont les acteurs de la menace exploitent les techniques de type Life-of-Land (LotL), telles que l'abus de fichiers binaires de système fiables tels que « MSBuild.exe », pour faire passer l'attaque à l'étape suivante, en établissant une implantation plus profonde et en maintenant la persistance au sein des hôtes compromis.
“Les e-mails de phishing incluent des détails sur le prix de la chambre en euros, suggérant que la campagne cible activement les organisations européennes”, a déclaré Securonix. “L'utilisation de la langue russe dans le fichier MSBuild 'v.proj' relie cette activité aux facteurs de menace russes utilisant DCRat.”
“L'utilisation d'un fichier de projet MSBuild personnalisé pour l'exécution d'un proxy, ainsi qu'une manipulation agressive des exclusions de Windows Defender, démontrent une compréhension approfondie des mécanismes modernes de protection des points de terminaison.”