PHALT#BLYX : fausses BSOD et MSBuild détourné pour déployer DCRat contre l’hôtellerie européenne
Source : Securonix Threat Research — Analyse technique d’une campagne active baptisée PHALT#BLYX ciblant le secteur de l’hôtellerie en Europe, utilisant des leurres Booking.com, la tactique « ClickFix » (faux CAPTCHA puis faux écran bleu), et l’abus de MSBuild.exe pour livrer un RAT de type DCRat/AsyncRAT. • Le flux d’infection repose sur un email de phishing « annulation de réservation » avec montants en euros, redirigeant vers un faux site Booking.com. L’utilisateur est poussé à cliquer « Refresh », un faux BSOD s’affiche et l’invite à coller une commande PowerShell (ClickFix) depuis le presse‑papiers. Le script télécharge un projet MSBuild (v.proj) depuis 2fa-bns[.]com, exécuté par msbuild.exe pour dérouler la suite de l’infection. ...