| Fuente: Securonix |
Investigadores de ciberseguridad han revelado detalles de una nueva campaña llamada “La Ciberseguridad”. PHALT#BLYX que ha utilizado señuelos similares a ClickFix para mostrar correcciones de errores falsos de pantalla azul de la muerte (BSoD) en ataques al sector hotelero europeo.
El objetivo final de la campaña de varias etapas, según la empresa de ciberseguridad Securonix, es distribuir un troyano de acceso remoto llamado DCRat. La actividad fue descubierta a finales de diciembre de 2025.
“Para el acceso inicial, los actores de amenazas utilizan un cebo falso de cancelación de reservas de Booking.com para engañar a las víctimas para que ejecuten comandos maliciosos de PowerShell que recuperan y ejecutan silenciosamente código remoto”, dijeron los investigadores Shikha Sangwan, Akshay Gaikwad y Aaron Beardslee.
El punto de partida de la cadena de ataque es un correo electrónico de phishing que se hace pasar por Booking.com y contiene un enlace a un sitio web falso (por ejemplo, “low-house(.)com”). Los mensajes advierten a los destinatarios sobre cancelaciones inesperadas de reservas y les solicitan que hagan clic en el enlace para confirmar la cancelación.
El sitio web al que se redirige a la víctima se hace pasar por Booking.com y proporciona una página CAPTCHA falsa que los lleva a una página falsa de “instrucciones de recuperación” BSoD para abrir el cuadro de diálogo Ejecutar de Windows, pegar un comando y presionar Enter. En realidad, esto da como resultado la ejecución de un comando de PowerShell, que finalmente implementa DCRat.
Específicamente, esto requiere un proceso de varios pasos que comienza con el cuentagotas de PowerShell descargando un archivo de proyecto MSBuild (“v.proj”) de “2fa-bns(.)com”, que luego se ejecuta usando “MSBuild.exe” para ejecutar una carga útil integrada diseñada para configurar las exclusiones de Microsoft Defender Antivirus para evitar la detección, configurar la persistencia en el host en la carpeta de inicio e iniciar el malware RAT después de descargarlo desde la misma ubicación que el proyecto MSBuild.
También es capaz de desactivar completamente el programa de seguridad si detecta que se está ejecutando con privilegios de administrador. Si el malware no tiene privilegios elevados, entrará en un bucle que activará un Control de cuentas de usuario (UAC) de Windows tres veces cada dos segundos, con la esperanza de que la víctima le conceda los permisos necesarios por pura frustración.
Al mismo tiempo, el código de PowerShell toma medidas para abrir la página de administración legítima de Booking.com en el navegador predeterminado como mecanismo de distracción, dando a la víctima la impresión de que la acción fue legítima.
DCRat, también llamado Dark Crystal RAT, es un troyano .NET que puede recopilar información confidencial y ampliar su funcionalidad mediante una arquitectura basada en complementos. Está equipado para conectarse a un servidor externo, crear un perfil del sistema infectado y escuchar comandos entrantes del servidor. Esto permite a los atacantes registrar pulsaciones de teclas, ejecutar comandos arbitrarios y desplegar cargas útiles adicionales, como un minero de criptomonedas.
La campaña es un ejemplo de cómo los actores de amenazas utilizan técnicas de vida de la tierra (LotL), como el abuso de archivos binarios de sistemas confiables como MSBuild.exe, para llevar el ataque al siguiente nivel, lograr un punto de apoyo más profundo y mantener la persistencia dentro de los hosts vulnerables.
“En particular, los correos electrónicos de phishing contienen información sobre el precio de las habitaciones en euros, lo que sugiere que la campaña está dirigida activamente a organizaciones europeas”, dijo Securonix. “El uso del idioma ruso en el archivo MSBuild 'v.proj' vincula esta actividad con factores de amenaza rusos que utilizan DCRat”.
“El uso de un archivo de proyecto MSBuild personalizado para la ejecución de proxy junto con una manipulación agresiva de las exclusiones de Windows Defender demuestra una comprensión profunda de los mecanismos modernos de protección de endpoints”.
About The Author
