Attenzione: un nuovo attacco informatico sta prendendo di mira gli hotel con email false che sembrano provenire da Booking.com. Se ricevete un’email urgente su cancellazioni di prenotazioni con addebiti elevati in euro, non cliccate sui link. Soluzione rapida: verificate sempre direttamente sul sito ufficiale di Booking.com digitando l’URL manualmente e segnalate email sospette al vostro IT. Questo inganno sfrutta l’ansia per transazioni fraudolente per installare malware sul vostro computer.
La campagna malware PHALTBLYX rappresenta una minaccia sofisticata per il settore dell’ospitalità, in particolare durante i periodi di alta stagione come le feste. Gli attaccanti inviano email phishing che imitano perfettamente le comunicazioni di Booking.com, annunciando cancellazioni di prenotazioni con importi sostanziosi, spesso oltre i 1000 euro. Queste email creano un senso di urgenza, spingendo i destinatari – tipicamente il personale amministrativo degli hotel – a cliccare immediatamente sui link per “verificare i dettagli”.
I link portano a siti web clone di Booking.com, graficamente identici all’originale, ospitati su domini controllati dagli hacker. Una volta sul sito falso, la trappola si attiva: cliccando un bottone di refresh o simile, il browser dell’utente visualizza un’animazione a schermo intero che simula lo schermo blu della morte (BSOD) di Windows, il famoso errore di crash del sistema operativo.
Questo trucco psicologico, noto come tecnica ClickFix, induce la vittima a seguire istruzioni on-screen per “riparare” il presunto guasto. Gli hacker hanno già copiato un comando PowerShell malevolo negli appunti del computer. L’utente, credendo di risolvere il problema, preme combinazioni di tasti indicate (come Windows + R per aprire Esegui) e incolla il comando, eseguendolo manualmente. Questo bypassa molti controlli di sicurezza automatici, poiché l’esecuzione avviene per intervento umano.
Mentre la vittima pensa di aver risolto il crash, il comando PowerShell apre distrattamente la pagina admin legittima di Booking.com in un tab del browser. Contemporaneamente, scarica un file di progetto MSBuild (.proj) da server remoti. MSBuild.exe, uno strumento legittimo di Microsoft per compilare progetti, viene abusato per eseguire il codice malevolo – una tecnica detta living off the land (LOTL), che usa utility di Windows fidate per evitare rilevamenti.
Il malware disabilita Windows Defender aggiungendo esclusioni ampie per estensioni di file e cartelle specifiche, permettendo ai payload successivi di operare indisturbati. Il payload finale è una variante personalizzata di DCRat, un trojan di accesso remoto (RAT) potente, venduto su forum underground russofoni. DCRat si installa con persistenza creando file di shortcut internet nella cartella di avvio di Windows, mascherati da utility di sistema.
Una volta connesso ai server di comando e controllo (C2), il RAT raccoglie informazioni dettagliate sul sistema: identificativi hardware, versione del sistema operativo, software antivirus installati e titoli delle finestre attive. Le sue capacità includono keylogging per rubare credenziali, iniezione di processi in binari legittimi come aspnetcompiler.exe, e download di ulteriori malware.
Elementi come stringhe di debug in cirillico e artefatti linguistici russi indicano chiaramente attori della minaccia di lingua russa. La campagna si concentra su organizzazioni europee nel settore hospitality, ma le tattiche sono adattabili ad altri ambiti.
Per proteggersi, le aziende dovrebbero potenziare la formazione del personale su tattiche ClickFix, monitorare esecuzioni sospette di MSBuild.exe da directory non standard, e implementare controlli comportamentali oltre a quelli basati su file. Non aprite email sospette e usate sempre autenticazione a due fattori. Questo attacco evidenzia come il social engineering rimanga l’anello debole più sfruttato.
Approfondimento tecnico
Catena di attacco dettagliata
- Fase di lure: Email malspam con tema “cancellazione prenotazione”. Importi in euro (es. €1.004,38) per targeting europeo. Link reindirizza tramite domini come oncameraworkout.com/ksbo a low-house.com.
- Sito clone: Replica visiva di Booking.com. Trigger su interazione (refresh) attiva JavaScript per BSOD fake.
- ClickFix: Copia comando PowerShell negli appunti:
powershell.exe -w hidden -ep bypass -c "..."(comandi offuscati per download v.proj). - Esecuzione LOTL: PowerShell scarica v.proj e lo passa a
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\MSBuild.exe /nodeReuse:false /t:Restore;Build v.proj. - Disabilitazione AV: Aggiunge esclusioni Defender via PowerShell:
Add-MpPreference -ExclusionExtension "exe","dll",... -ExclusionPath "C:\Users\Public". - Payload DCRat: Obfuscato, persistenza via
.urlin%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup. C2 su porte standard, raccolta dati via HTTP/HTTPS.
Indicatori tecnici (IoC)
– Domini: low-house.com, oncameraworkout.com.
– File: v.proj (contiene stringhe russe).
– Processi sospetti: MSBuild.exe child di PowerShell.exe da web.
– Mutex/Registry: Artefatti DCRat specifici per evitare conflitti.
Mitigazioni avanzate
– EDR/XDR: Monitora behavioral analytics su PowerShell abusato, MSBuild non-dev, clipboard manipulation.
– Regole YARA/Sigma: Per DCRat signature e BSOD HTML/JS patterns.
– Network: Blocca C2 noti, anomaly detection su traffico da startup processes.
Evoluzione tattica
Rispetto a campagne precedenti (HTML apps via mshta.exe), PHALTBLYX evolve verso LOTL puro, rendendolo più evasivo. Attori russi adattano lures stagionali (feste) per massimizzare impatto su hospitality.
Questo approfondimento fornisce insights per team IT e security per hunting proattivo. Mantenersi aggiornati su TTP (MITRE ATT&CK: T1059.001, T1127.001) è essenziale contro minacce evolute.[Word count: 1024]
Fonte: https://cybersecuritynews.com/new-clickfix-attack-uses-fake-windows-bsod-screens/
