En ny skadlig programvara kampanj som riktar sig mot hotell- och restaurangpersonal över hela Europa utnyttjar falska Windows Blue Screen of Death-sidor för att leverera en kraftfull fjärråtkomsttrojan. Attacken kombinerar phishing-e-post, social ingenjörskonst och betrodda Windows-verktyg för att kringgå moderna slutpunktsförsvar.

Forskare säger att kampanjen, som spåras som PHALT#BLYX, imiterar e-postmeddelanden för bokningar från Booking.com och lurar offer att manuellt utföra skadliga kommandon. Det som gör denna operation särskilt farlig är dess beroende av att leva på landet-tekniker som utnyttjar legitima Windows-komponenter istället för traditionella malware-laddare.

Resultatet är den hemliga distributionen av DCRat, en välkänd fjärråtkomsttrojan som kan leda till fullständig systemkompromiss.

Viktigaste punkterna

• Falska bokningsliknande e-postmeddelanden riktar sig till hotellpersonal i hela Europa
• Offer är omdirigerade till falska Blue Screen of Death återställningssidor
• Användare luras att köra skadliga PowerShell-kommandon
• Malware använder MSBuild för att undvika antivirusdetektering
• DCRat möjliggör fullständig fjärrkontroll och datastöld
• Kampanjen missbrukar kraftigt betrodda Windows-verktyg

Hur den falska boknings-e-postattacken börjar

Attacken börjar med ett phishing-e-postmeddelande som är utformat för att se ut som ett officiellt meddelande från Booking.com. Dessa e-postmeddelanden varnar hotellpersonal om oväntade avbokningar av reservationer och uppmanar till omedelbar åtgärd.

Meddelandena inkluderar vanligtvis:

• Reservation och rumsavgifter listade i euro

• En känsla av brådska kopplad till avbokningsbekräftelse

• En klickbar länk som påstår sig omdirigera till Booking.com

När den klickas, skickar länken offren till en bedräglig webbplats som visuellt imiterar Booking.coms gränssnitt.

Läs också:

En guide till att ta bort och upptäcka kryptovaluta-malware

Efter att ha landat på den falska Bokningssidan presenteras offren för en falsk CAPTCHA-utmaning. Detta steg är utformat för att sänka misstänksamheten och bygga förtroende innan den slutgiltiga payloaden levereras.

Vid slutförandet av CAPTCHA:n omdirigeras användaren till en falsk Windows-blåskärm för döden-sida. Sidan påstår att systemet har stött på ett kritiskt fel och ger steg-för-steg återställningsinstruktioner.

Dessa instruktioner berättar för användaren att:

• Öppna Windows Kör-dialogrutan
• Klistra in ett kommando som visas på skärmen
• Tryck på Enter för att åtgärda problemet

I verkligheten startar kommandot ett skadligt PowerShell-skript.

PowerShell och MSBuild-missbruk förklarat

När den har körts påbörjar PowerShell-kommandot en flerfasig infekteringsprocess. Skriptet laddar ner en särskilt utformad MSBuild-projektfil från en fjärrserver och kör den med hjälp av MSBuild.exe, ett legitimt Microsoft-utvecklingsverktyg.

Denna teknik är särskilt farlig eftersom MSBuild är en betrodd Windows-binär som ofta kringgår säkerhetsvarningar.

MSBuild-projektfilen utför flera åtgärder:

• Laddar ner DCRat-payload

• Lägger till undantag för Microsoft Defender
• Etablerar beständighet via Startup-mappen
• Lanserar skadlig programvara i tysthet

Om skadlig programvara körs med administratörsbehörighet kan den helt inaktivera Windows Defender.

Aggressiv UAC Bypass och Användartrötthetstaktik

Om administratörsrättigheter inte är tillgängliga, misslyckas inte skadlig programvara omedelbart. Istället utlöser den upprepade gånger Windows användarkontrollsnuttar.

Målet är att utnyttja användartrötthet. Genom att visa upprepade begärningar om tillstånd varannan sekund hoppas angriparna att offren till slut kommer att godkänna begäran av frustration.

Denne taktik belyser hur social ingenjörskonst fortfarande är en av de svagaste punkterna inom slutpunktssäkerhet.

Tekniker för avledning för att undvika misstankar

För att ytterligare minska misstänksamheten öppnar PowerShell-skriptet den riktiga Booking.com-adminsidan i standardwebbläsaren efter utförandet.

Detta skapar illusionen av att användaråtgärden var legitim och relaterad till deras ursprungliga uppgift. Under tiden fortsätter malware-installationen i bakgrunden utan synliga tecken.

Denna kombination av bedrägeri och distraktion ökar avsevärt framgångsgraden för attacken.

Läs också:Malware vs Virus: Saker det är viktigt att lära sig

Vad är DCRat och Varför är det Farligt

DCRat, även känt som DarkCrystal RAT, är en allmänt använd .NET-baserad fjärråtkomsttrojan och en variant av AsyncRAT. Det säljs som ett färdigt malware-verktyg och stöder en plugin-baserad arkitektur.

När den väl är installerad kan DCRat:

• Logga tangenttryckningar
• Stjäla inloggningsuppgifter och känslig information
• Kör godtyckliga kommandon
• Ladda ner ytterligare skadlig kod payloads
• Installera kryptovaluta-gruvor

• Behåll ständig åtkomst

Malware kopplar tillbaka till en kommandocentralserver och väntar på instruktioner, vilket ger angripare långsiktig åtkomst till komprometterade system.

Levande av Marktekniker i Modern Malware

Denna kampanj är ett skolboksexempel på att leva av landet-tekniker. Istället för att släppa uppenbara skadliga binärer, utnyttjar angripare betrodda systemverktyg som redan finns på Windows-maskiner.

Nyckelkomponenter som missbrukas inkluderar:

• PowerShell för initial exekvering
• MSBuild.exe för leverans av payload
• Startup-mappar för beständighet
• Windows Defender undantag för undvikande

Genom att använda dessa verktyg minskar angriparna sin synlighet och gör det avsevärt svårare att upptäcka dem.

Varför hotellsektorn blir mål för attacker

Forskare noterar att phishing-e-postmeddelandena tydligt framhäver prissättning i Euro, vilket starkt tyder på ett fokus på europeiska organisationer.

Hotell och hotellverksamheter är särskilt attraktiva mål eftersom:

• Personal hanterar ofta kommunikationer från Booking.com

• Frontdesk-system har ofta bred tillgång

• Operativ brådska ökar klickfrekvenserna

• Cybersecurityutbildning är ofta inkonsekvent

Dessa faktorer gör hotellanställda till idealiska mål för sociala ingenjörsattacker.

Indikatorer för rysk hotaktörsengagemang

Analysen av MSBuild-projektfilen avslöjade ryska språkartefakter inom koden. I samband med användningen av DCRat, som vanligtvis är kopplad till rysktalande cyberkriminella, tror forskarna att kampanjen kan vara kopplad till ryska hotaktörer.

Även om attribution förblir försiktig, så stämmer de tekniska indikatorerna överens med kända användningsmönster för DCRat.

Defensiva Åtgärder Organitationer Bör Vidta

Organisationer inom besöksnäringen bör betrakta denna kampanj som ett varningstecken.

Nyckeldefensiva steg inkluderar:

• Att blockera PowerShell-exekvering för icke-administratörsanvändare
• Övervakning av MSBuild.exe-användning utanför utvecklingsmiljöer
• Att genomdriva strikt applikationsvitlistning
• Träna personalen att aldrig köra kommandon från webbsidor
• Implementera phishing-resistent e-postfiltering

Användarmedvetenhet förblir avgörande, eftersom attacken väsentligen bygger på manuell utförande.

Slutliga tankar

Den falska Blue Screen of Death-malwarekampanjen visar hur cyberkriminella blandar psykologisk manipulation med djup teknisk kunskap om Windows-system. Genom att missbruka betrodda verktyg och övertyga användare att själva köra kommandon, kringgår angriparna traditionella säkerhetskontroller med skrämmande framgång.

För hotell och serviceföretag som är starkt beroende av tredjepartsplattformar som Booking.com, framhäver denna attack det akuta behovet av både tekniska skyddsåtgärder och personalutbildning. Gränsen mellan legitim felsökning och ondsinta instruktioner blir alltmer otydlig.

Läs också:

Vad är Lumma Malware? Dessutom stjäla kryptovaluta plånbok

FAQs

Vad är en falsk Blå Skärm av Död-angrepp?

Det är en social ingenjörskonst där angripare visar en fejkad Windows kraschen-skärm för att lura användare att köra skadliga kommandon.

Varför riktas kampanjen mot hotell?

Hotell använder ofta Booking.com och hanterar akuta reservationer, vilket gör att personalen är mer benägen att lita på phishing-e-post.

Vilken skadlig programvara levereras i den här attacken?

Attacken installerar DCRat, en fjärråtkomsttrojan som kan leda till fullständig systemkompromittering.

Hur lyckas malware undvika antivirusavkänning?

Det utnyttjar betrodda Windows-verktyg som PowerShell och MSBuild och modifierar Defender-undantag.

Hur kan organisationer skydda sig mot denna attack?

Att begränsa användningen av PowerShell, övervaka MSBuild-aktivitet och utbilda personalen för att undvika att köra kommandon från webbplatser är viktiga försvar.