Investigadores de ciberseguridad de Securonix han compartido información sobre una nueva campaña llamada PHALT#BLYX que utiliza señuelos similares a ClickFix para simular errores falsos de pantalla azul de la muerte (BSoD) en ataques dirigidos al sector hotelero en Europa.
Esta actividad fue detectada a finales de diciembre de 2025. El objetivo principal de la campaña es la distribución de un troyano de acceso remoto conocido como DCRat. Según los investigadores, Shikha Sangwan, Akshay Gaikwad y Aaron Beardslee, «Los actores de amenazas utilizan un señuelo falsificado de cancelación de reservas de Booking para engañar a las víctimas y ejecutar comandos maliciosos de PowerShell que descargan y ejecutan código remoto de manera silenciosa».
La cadena de ataque comienza con un correo electrónico de phishing que se presenta como Booking, conteniendo un enlace que dirige a un sitio web fraudulentos (por ejemplo, «low-house[.]com»). Estos mensajes alertan a los destinatarios sobre cancelaciones inesperadas de reservas y les instan a hacer clic en el enlace para confirmar dicha cancelación.
Al acceder al sitio, la víctima es llevada a una página que simula estar relacionada con Booking y muestra una falsa página CAPTCHA, que finalmente redirige a una falsa pantalla azul con «instrucciones de recuperación». Ahí se les solicita que abran el cuadro de diálogo Ejecutar de Windows, inserten un comando y presionen Enter. Este proceso efectivamente ejecuta un comando de PowerShell que activa DCRat.
En detalle, se describe un proceso de múltiples pasos que inicia con un script de PowerShell que descarga un archivo de proyecto MSBuild («v.proj») desde «2fa-bns[.]com». Este archivo se ejecuta con «MSBuild.exe», lo que permite implementar una carga útil integrada que configura exclusiones en Microsoft Defender Antivirus, establece persistencia en el host en la carpeta de Inicio y ejecuta el malware RAT después de descargarlo desde la misma fuente que el proyecto MSBuild.
Además, el malware puede desactivar el programa de seguridad automáticamente si detecta que se ejecuta con privilegios de administrador. Si carece de esos privilegios, entra en un ciclo que genera un mensaje de Control de Cuentas de Usuario (UAC) de Windows cada dos segundos, con la esperanza de que la víctima, frustrada, otorgue los permisos necesarios.
Simultáneamente, el código de PowerShell abre la página de administración legítima de Booking en el navegador predeterminado para distraer a la víctima y dar la impresión de que la acción es legítima.
DCRat, conocido también como Dark Crystal RAT, es un troyano .NET off-the-shelf diseñado para recopilar información confidencial y ampliar su funcionalidad mediante una arquitectura basada en plugins. Puede conectarse a un servidor externo, perfilar el sistema infectado y esperar comandos del servidor, lo que permite a los atacantes registrar pulsaciones de teclas, ejecutar comandos arbitrarios y distribuir cargas útiles adicionales, como un minero de criptomonedas.
Esta campaña ilustra cómo los actores de amenazas emplean técnicas de «Living off-the-Land» (LotL), aprovechando binarios de sistema confiables como «MSBuild.exe» para avanzar en las etapas del ataque, establecer una presencia más sólida y mantener la persistencia en los sistemas comprometidos.
«Los correos electrónicos de phishing incluyen detalles de cobro de habitaciones en euros, lo que sugiere que la campaña está dirigida activamente a organizaciones europeas», informó Securonix. «El uso del idioma ruso en el archivo ‘v.proj’ de MSBuild vincula esta actividad a factores de amenaza rusos que utilizan DCRat».
La utilización de un archivo de proyecto MSBuild personalizado para la ejecución mediante proxy, junto con la manipulación agresiva de las exclusiones de Windows Defender, revela un profundo conocimiento de los mecanismos modernos de protección de endpoints.
Fuente:
THN
Con Información de blog.segu-info.com.ar