Специалисты Securonix обнаружили сложную кампанию вредоносного ПО под названием PHALT#BLYX, ориентированную на гостиничный сектор. Атака сочетает классические приёмы социальной инженерии с современными техниками обхода защиты и использованием доверенных системных утилит, что делает её особенно опасной для организаций, где сотрудники часто взаимодействуют с внешними службами бронирования, такими как Booking.com.
Краткая суть атаки
Злоумышленники рассылают фишинговые письма, стилизованные под коммуникации Booking.com, — обычно с уведомлением об отмене бронирования и «срочной» необходимостью действий, сопровождающейся упоминанием финансовых трат. При переходе по ссылкам жертва попадает на правдоподобную поддельную страницу Booking.com, где демонстрируется фальшивое сообщение об ошибке и одновременно выполняется скрипт clipboard injection на PowerShell. Пользователь по инструкции вручную вставляет скопированный скрипт в окно «Выполнить» Windows, что приводит к запуску вредоносной цепочки загрузки — типичный пример техники, известной как ClickFix.
Последовательность заражения (технически)
- Фишинговое письмо → ссылка на поддельную страницу Booking.com.
- На странице показывают «ошибку» и выполняют clipboard injection скрипт на PowerShell, вынуждая пользователя вставить содержимое в окно «Выполнить».
- Вставленный и запущенный PowerShell-скрипт загружает XML-проекта с именем v.proj, оформленного как MSBuild-проект.
- Проект выполняется через доверенную утилиту MSBuild.exe, что позволяет обойти часть защитных механизмов.
- На этапе установки вредоносное ПО добавляет папку C:ProgramData в исключения Windows Defender, облегчая дальнейшую инсталляцию и скрытие.
- Если текущий пользователь обладает правами администратора — установка продолжается; иначе используется «UAC spam» для попытки повышения привилегий.
- Доставленная полезная нагрузка — staxs.exe (файл .NET) — действует как загрузчик и внедряет финальные модули в легитимные системные процессы.
- Для конфиденциальности конфигурации используются AES-256 и PBKDF2; закрепление достигается через файлы интернет-ярлыков (.url) в автозагрузке пользователя.
Ключевые технические детали и индикаторы (IOCs)
- Название кампании: PHALT#BLYX.
- Фишинговая маскировка: под Booking.com (сообщения об отмене бронирования, срочность и расходы).
- Методы: clipboard injection → PowerShell → загрузка v.proj → выполнение через MSBuild.exe.
- Путь исключения в Defender: C:ProgramData (автоматическое добавление в исключения).
- Полезная нагрузка: staxs.exe (.NET, загрузчик с инжекцией в легитимные процессы).
- Криптография: AES-256 и PBKDF2 для защиты конфигурационных данных.
- Persistence: файлы .url в папке автозагрузки пользователя.
- Повышение привилегий: проверка через .NET-методы; при отсутствии прав — UAC spam.
Почему это опасно
Кампания демонстрирует сочетание мастерства социальной инженерии и использования доверенных системных механизмов (LOLBAS-подход): злоумышленники не полагаются на прямую эксплуатацию уязвимостей, а используют взаимодействие с пользователем и легитимные инструменты (MSBuild.exe, подписанные Windows компоненты) для обхода защит. Автоматическое добавление C:ProgramData в исключения Defender снижает вероятность обнаружения на ранних этапах. Инъекция в процессы и шифрование конфигурации затрудняют анализ и реагирование.
Рекомендации по защите
- Провести обучающие кампании для сотрудников гостиничного сектора: не выполнять инструкции из сомнительных писем и не вставлять команды в окно «Выполнить» по указанию со сторонних сайтов.
- Ограничить использование и запуск MSBuild.exe, PowerShell и других потенциально опасных утилит с помощью AppLocker/WDAC или политик групповой безопасности.
- Запретить возможность обычных пользователей добавлять исключения в Windows Defender через групповые политики.
- Мониторить создание и запуск файлов типа v.proj, запуск MSBuild.exe с нестандартными аргументами, а также подозрительные PowerShell-команды и процессы-инъекторы.
- Отслеживать появление новых записей в автозагрузке, особенно файлов .url в папке Startup пользователей.
- Применять принцип наименьших привилегий: пользователи не должны иметь административных прав для повседневных задач.
- Внедрить EDR с возможностью детектирования инжекций в процесс, а также контроль целостности и аномального поведения подписанных системных бинарников.
«Кампания PHALT#BLYX… сочетание мастерства социальной инженерии и технических стратегий избегания» — вывод Securonix, требующий усиленного внимания со стороны компаний гостиничной индустрии.
Итог
PHALT#BLYX — это пример того, как злоумышленники комбинируют психологические приёмы и «белые» утилиты операционной системы, чтобы обойти защиту и закрепиться в среде жертвы. Особую уязвимость представляют сотрудники, взаимодействующие с внешними сервисами бронирования и не подготовленные к сложным сценариям фишинга. Адекватная техническая защита в сочетании с обучением персонала и ограничением прав доступа — ключевые меры для противодействия таким кампаниям.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "PHALT#BLYX: фишинговая кампания против гостиниц с PowerShell и MSBuild".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.