Source : Securonix Threat Research — Analyse technique d’une campagne active baptisée PHALT#BLYX ciblant le secteur de l’hôtellerie en Europe, utilisant des leurres Booking.com, la tactique « ClickFix » (faux CAPTCHA puis faux écran bleu), et l’abus de MSBuild.exe pour livrer un RAT de type DCRat/AsyncRAT.

• Le flux d’infection repose sur un email de phishing « annulation de réservation » avec montants en euros, redirigeant vers un faux site Booking.com. L’utilisateur est poussé à cliquer « Refresh », un faux BSOD s’affiche et l’invite à coller une commande PowerShell (ClickFix) depuis le presse‑papiers. Le script télécharge un projet MSBuild (v.proj) depuis 2fa-bns[.]com, exécuté par msbuild.exe pour dérouler la suite de l’infection.

• Côté évasion/défense, le projet MSBuild ajoute des exclusions à Windows Defender (dont C:\ProgramData et extensions .exe/.ps1/.proj), vérifie les privilèges et pratique un « UAC spam » si nécessaire. En mode admin, il désactive la protection en temps réel et utilise BITS pour récupérer le binaire staxs.exe (DCRat customisé). La persistance est établie via un fichier .url (DeleteApp.url) dans le Startup pointant vers une copie en C:\Windows\Temp (tybd7.exe). Le payload injecte ensuite un composant dans un processus légitime (aspnet_compiler.exe) par hollowing.

• Le chargeur .NET présente des similarités fortes avec AsyncRAT (MessagePack, AES‑256 + PBKDF2 50 000 itérations, salage « LoaderPanel ») et charge un DLL final fortement obfusqué via une chaîne de loaders (Wwigu.exe → ressource chiffrée « Pqldqklin » → Lbpyjxefa.dll). Le RAT offre des capacités de keylogging, accès distant, exécution mémoire et dépôt de charges secondaires (dont coinminer), avec C2 sur le port 3535.

• Ciblage/attribution : campagne orientée hôtellerie, thématique Booking.com, indices de ciblage européen (euros dans les emails) et présence de chaînes de debug en russe dans v.proj. Le domaine de destination low-house[.]com était encore actif au moment de l’analyse, et plusieurs domaines/redirecteurs/C2 sont listés.

• IOCs principaux 🔎

  • Domains/URLs : oncameraworkout[.]com/ksbo, low-house[.]com, 2fa-bns[.]com, asj77[.]com, asj88[.]com, asj99[.]com, wmk77[.]com, 8eh18dhq9wd[.]click
  • IPs : 194.169.163[.]140, 193.221.200[.]233, 13.223.25[.]84
  • Port C2 : 3535
  • Paths/Fichiers : %ProgramData%\v.proj, %ProgramData%\staxs.exe, C:\Windows\Temp\tybd7.exe, %Startup%\DeleteApp.url, %Startup%\update.lnk
  • Hashes (extraits, SHA256) : • Stub.exe/Staxs.exe/tydb7.exe — bf374d8e2a37ff28b4dc9338b45bbf396b8bf088449d05f00aba3c39c54a3731 • Wwigu.exe — e68a69c93bf149778c4c05a3acb779999bc6d5bcd3d661bfd6656285f928c18e ; 18c75d6f034a1ed389f22883a0007805c7e93af9e43852282aa0c6d5dafaa970 • Lbpyjxefa.dll — 91696f9b909c479be23440a9e4072dd8c11716f2ad3241607b542b202ab831ce

• TTPs (MITRE ATT&CK) 🧭

  • T1566.002 (Spearphishing Link)
  • T1204.002 (User Execution: Malicious File) — ClickFix/faux BSOD
  • T1059.001 (PowerShell)
  • T1127.001 (Trusted Developer Utilities Proxy Execution: MSBuild)
  • T1562.001 (Impair Defenses: Windows Defender exclusions/désactivation)
  • T1055.012 (Process Hollowing)
  • T1547.001 (Boot or Logon Autostart Execution: .url/.lnk dans Startup)
  • T1095 (Non‑Application Layer Protocol) — C2 sur port 3535

Conclusion : article d’analyse de menace détaillant une chaîne d’infection multi‑étapes, ses artefacts, IoCs et comportements pour compréhension et détection.

🧠 TTPs et IOCs détectés

TTP

[‘T1566.002 (Spearphishing Link)’, ‘T1204.002 (User Execution: Malicious File)’, ‘T1059.001 (PowerShell)’, ‘T1127.001 (Trusted Developer Utilities Proxy Execution: MSBuild)’, ‘T1562.001 (Impair Defenses: Windows Defender exclusions/désactivation)’, ‘T1055.012 (Process Hollowing)’, ‘T1547.001 (Boot or Logon Autostart Execution: .url/.lnk dans Startup)’, ‘T1095 (Non‑Application Layer Protocol)’]

IOC

{‘domains’: [‘oncameraworkout[.]com/ksbo’, ’low-house[.]com’, ‘2fa-bns[.]com’, ‘asj77[.]com’, ‘asj88[.]com’, ‘asj99[.]com’, ‘wmk77[.]com’, ‘8eh18dhq9wd[.]click’], ‘ips’: [‘194.169.163[.]140’, ‘193.221.200[.]233’, ‘13.223.25[.]84’], ‘hashes’: [‘bf374d8e2a37ff28b4dc9338b45bbf396b8bf088449d05f00aba3c39c54a3731’, ’e68a69c93bf149778c4c05a3acb779999bc6d5bcd3d661bfd6656285f928c18e’, ‘18c75d6f034a1ed389f22883a0007805c7e93af9e43852282aa0c6d5dafaa970’, ‘91696f9b909c479be23440a9e4072dd8c11716f2ad3241607b542b202ab831ce’]}

🔗 Source originale : https://www.securonix.com/blog/analyzing-phaltblyx-how-fake-bsods-and-trusted-build-tools-are-used-to-construct-a-malware-infection/