DCRat on CyberVeille https://cyberveille.ch/tags/dcrat/ Recent content in DCRat on CyberVeille Hugo -- 0.146.0 fr-fr Sun, 05 Apr 2026 00:00:00 +0000 Campagne ClickFix : XWorm V5.6 livré via PhantomVAI en 5 étapes sur site médical turc compromis https://cyberveille.ch/posts/2026-04-05-campagne-clickfix-xworm-v5-6-livre-via-phantomvai-en-5-etapes-sur-site-medical-turc-compromis/ Sun, 05 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-05-campagne-clickfix-xworm-v5-6-livre-via-phantomvai-en-5-etapes-sur-site-medical-turc-compromis/ <h2 id="-contexte">🔍 Contexte</h2> <p>Publié le 2 avril 2026 par Censys (auteur : Andrew Northern, Principal Security Researcher), cet article présente une découverte CTI issue d&rsquo;une méthodologie de chasse technique basée sur l&rsquo;analyse des corps de réponses HTTP à l&rsquo;échelle d&rsquo;Internet. La recherche a permis de surface une campagne <strong>ClickFix</strong> active livrant <strong>XWorm V5.6</strong> via le loader MaaS <strong>PhantomVAI</strong>.</p> <h2 id="-vecteur-dentrée-et-infrastructure-compromise">🎯 Vecteur d&rsquo;entrée et infrastructure compromise</h2> <p>Le point d&rsquo;entrée est le site d&rsquo;une entreprise turque de matériel médical, <strong>orcanmedikal[.]com[.]tr</strong>, dont tous les sous-domaines (naked domain, www, mail) servent une page identique de 1 655 octets intitulée <strong>&ldquo;AntiFraud Authenticator&rdquo;</strong>. Cette page ClickFix invite la victime à cliquer sur un bouton COPY, ce qui copie silencieusement une commande PowerShell encodée dans le presse-papiers via <code>navigator.clipboard.writeText()</code>.</p> PHALT#BLYX : fausses BSOD et MSBuild détourné pour déployer DCRat contre l’hôtellerie européenne https://cyberveille.ch/posts/2026-01-06-phalt-blyx-fausses-bsod-et-msbuild-detourne-pour-deployer-dcrat-contre-lhotellerie-europeenne/ Tue, 06 Jan 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-01-06-phalt-blyx-fausses-bsod-et-msbuild-detourne-pour-deployer-dcrat-contre-lhotellerie-europeenne/ <p>Source : Securonix Threat Research — Analyse technique d’une campagne active baptisée PHALT#BLYX ciblant le secteur de l’hôtellerie en Europe, utilisant des leurres Booking.com, la tactique « ClickFix » (faux CAPTCHA puis faux écran bleu), et l’abus de MSBuild.exe pour livrer un RAT de type DCRat/AsyncRAT.</p> <p>• Le flux d’infection repose sur un email de phishing « annulation de réservation » avec montants en euros, redirigeant vers un faux site Booking.com. L’utilisateur est poussé à cliquer « Refresh », un faux BSOD s’affiche et l’invite à coller une commande PowerShell (ClickFix) depuis le presse‑papiers. Le script télécharge un projet MSBuild (v.proj) depuis 2fa-bns[.]com, exécuté par msbuild.exe pour dérouler la suite de l’infection.</p>