Campanha PHALT#BLYX usa falso BSOD e MSBuild para instalar DCRat
Pesquisadores da Securonix documentaram uma campanha que combina engenharia social sofisticada (e‑mails de cancelamento/reserva) com a técnica "ClickFix": páginas falsas que simulam erro e induzem operadores a colar e executar comandos via Windows+R. A cadeia final abusa do MSBuild.exe legítimo para executar um projeto malicioso que instala uma variante ofuscada do DCRat.
Engenharia social e vetor inicial
Os alvos principais são empresas de hotelaria; e‑mails são confeccionados como notificações de reservas (falsamente apresentando cobranças >€1.000) para gerar urgência. A URL leva a uma página que replica visualmente o Booking[.]com; em seguida surge um erro simulado e uma tela tipo Blue Screen of Death para coagir o usuário a seguir instruções de "correção" que, na prática, fazem colar e executar comandos PowerShell.
Cadeia técnica de infecção
- Dropper em PowerShell abre a página legítima como distração, procura por MSBuild.exe no sistema e baixa um arquivo de projeto (v.proj) do servidor do atacante.
- O arquivo v.proj é executado via MSBuild.exe (ferramenta assinada pela Microsoft), o que contorna muitas políticas de whitelisting.
- Os scripts embutidos adicionam exclusões ao Windows Defender (ProgramData e extensões .exe/.ps1/.proj) e usam UAC spam para tentar elevar privilégios.
- Persistência via atalhos de Internet na pasta Startup e implantação final do payload staxs.exe — uma versão fortemente ofuscada do DCRat.
Telemetria, capacidades e infraestrutura
O DCRat observado emprega AES‑256 com PBKDF2 no canal e se conecta a servidores C2 em asj77.com, asj88.com e asj99.com na porta 3535. O trojan realiza process hollowing em aspnet_compiler.exe e coleta fingerprint completo do sistema (hardware IDs, AVs instalados, títulos de janelas, status de domínio) para selecionar cargas subsequentes (keylogger, RDP remoto, mineradores ou outras ferramentas).
Detecção e mitigação
- Bloquear e analisar URLs de phishing e domínios associados; aplicar filtros de URL/ATP em gateways de e‑mail e proxies.
- Reforçar regras de EDR para flaggar uso de MSBuild.exe invocado por processos de navegador ou via sequência PowerShell inesperada.
- Evitar depender apenas de assinatura de binários para whitelisting — monitorar argumentos de linha de comando e origem da invocação.
- Política de restrição: bloquear execução de MSBuild.exe para usuários finais quando não necessário; aplicar mitigação contra UAC spam e revisar exclusões do Defender em endpoints gerenciados.
- Treinamento focado: instruir equipes de back‑office e recepção sobre técnicas de engenharia social que induzem a acionar comandos manuais (ClickFix).
Observações finais
A campanha demonstra evolução tática: uso de ferramentas legítimas assinadas e páginas de phishing altamente convincentes para forçar execução manual. As empresas do setor de hospitalidade devem priorizar detecção baseada em comportamento para MSBuild e fluxos de processo anômalos, além de revisar controles de privilégio e políticas de execução por usuário.
Fonte
Relatório técnico divulgado pela Securonix e compilado em artigo de divulgação.