Investigadores de ciberseguridad han revelado detalles de una nueva campaña, denominada PHALT#BLYX, que ha utilizado señuelos de tipo ClickFix para mostrar soluciones falsas para errores de pantalla azul de la muerte (BSoD) en ataques dirigidos al sector de la hostelería europeo.
El objetivo final de esta campaña, que se desarrolla en varias etapas, es entregar un troyano de acceso remoto conocido como DCRat, según la empresa de ciberseguridad Securonix. La actividad fue detectada a finales de diciembre de 2025.
“Para el acceso inicial, los actores de amenazas utilizan un señuelo de cancelación de reserva falsa de Booking.com para engañar a las víctimas y que ejecuten comandos maliciosos de PowerShell, que descargan y ejecutan código remoto silenciosamente”, afirmaron los investigadores Shikha Sangwan, Akshay Gaikwad y Aaron Beardslee.
El punto de partida de la cadena de ataque es un correo electrónico de phishing que suplanta a Booking.com y contiene un enlace a un sitio web falso (por ejemplo, “low-house[.]com”). Los mensajes advierten a los destinatarios sobre cancelaciones inesperadas de reservas, instándoles a hacer clic en el enlace para confirmar la cancelación.
El sitio web al que se redirige a la víctima se hace pasar por Booking.com y muestra una página de CAPTCHA falsa que los lleva a una página de BSoD falsa con “instrucciones de recuperación” para abrir el cuadro de diálogo Ejecutar de Windows, pegar un comando y presionar la tecla Enter. En realidad, esto resulta en la ejecución de un comando de PowerShell que finalmente implementa DCRat.
Específicamente, esto implica un proceso de varios pasos que comienza con el dropper de PowerShell descargando un archivo de proyecto MSBuild (“v.proj”) de “2fa-bns[.]com”, que luego se ejecuta utilizando “MSBuild.exe” para ejecutar una carga útil integrada responsable de configurar exclusiones de Microsoft Defender Antivirus para evadir la detección, establecer la persistencia en el host en la carpeta de inicio y lanzar el malware RAT después de descargarlo desde la misma ubicación que el proyecto MSBuild.
También es capaz de desactivar el programa de seguridad por completo si se encuentra ejecutándose con privilegios de administrador. Si no tiene derechos elevados, el malware entra en un bucle que activa una solicitud de Control de cuentas de usuario de Windows (UAC) cada dos segundos durante tres veces con la esperanza de que la víctima le conceda los permisos necesarios por pura frustración.
Paralelamente, el código de PowerShell toma medidas para abrir la página de administración legítima de Booking.com en el navegador predeterminado como un mecanismo de distracción y para dar la impresión a la víctima de que la acción era legítima.
DCRat, también llamado Dark Crystal RAT, es un troyano .NET listo para usar que puede recopilar información confidencial y ampliar su funcionalidad mediante una arquitectura basada en plugins. Está equipado para conectarse a un servidor externo, perfilar el sistema infectado y esperar comandos entrantes del servidor, lo que permite a los atacantes registrar pulsaciones de teclas, ejecutar comandos arbitrarios y entregar cargas útiles adicionales, como un minero de criptomonedas.
La campaña es un ejemplo de cómo los actores de amenazas están aprovechando las técnicas de vivir de la tierra (LotL), como el abuso de binarios de sistema confiables como “MSBuild.exe”, para avanzar la ataque, establecer un punto de apoyo más profundo y mantener la persistencia dentro de los hosts comprometidos.
“Los correos electrónicos de phishing destacan por incluir detalles de cargos de habitación en euros, lo que sugiere que la campaña se dirige activamente a organizaciones europeas”, dijo Securonix. “El uso del idioma ruso dentro del archivo MSBuild ‘v.proj’ vincula esta actividad a actores de amenazas rusos que utilizan DCRat.”
“El uso de un archivo de proyecto MSBuild personalizado para la ejecución por proxy, junto con la manipulación agresiva de las exclusiones de Microsoft Defender, demuestra una profunda comprensión de los mecanismos modernos de protección de puntos finales.”
