Интересно Когда BSOD – это не баг, а фича. Злоумышленники научились профессионально притворяться сломанной «виндой».

Admin

Admin

Администратор

Когда BSOD – это не баг, а фича. Злоумышленники научились профессионально притворяться сломанной «виндой».



1767808314131


Мошенники нашли способ превратить обычный клик по письму в полноценный удалённый доступ к компьютеру.


Сообщение об отмене бронирования на Booking.com с внушительной суммой списания выглядит как обычная рабочая рутина для отелей и апартаментов. Но именно с такого письма начинается новая вредоносная кампания, которую специалисты Securonix отслеживают под именем PHALT#BLYX. Она наглядно показывает, как современные атаки всё чаще делают ставку не на уязвимости, а на психологию пользователей и доверие к штатным инструментам Windows.

Атака ориентирована на гостиничный бизнес и активно использовалась в разгар праздничного сезона. Жертвам приходят фишинговые письма о якобы отмене бронирования с деталями оплаты в евро. Это создаёт ощущение срочности и заставляет получателя как можно быстрее перейти по ссылке. Вместо настоящего сайта Booking.com пользователь попадает на качественную подделку, внешне почти не отличимую от оригинала. Логотипы, шрифты и цвета выглядят убедительно, а потому подозрений не вызывают.

На поддельной странице жертве показывают сообщение о якобы возникшей ошибке загрузки и предлагают обновить страницу. После клика браузер разворачивается на весь экран и имитирует синий экран смерти Windows. В состоянии стресса пользователю предлагают простой способ всё исправить. Нужно открыть окно Выполнить, вставить уже скопированную команду и нажать Enter. На самом деле в буфер обмена заранее был помещён вредоносный PowerShell скрипт. Таким образом человек сам запускает заражение, обходя многие автоматические механизмы защиты.

Дальше атака развивается в несколько этапов. PowerShell скрипт загружает специальный проектный файл для MSBuild и запускает его с помощью штатного инструмента сборки Microsoft. Это один из ключевых моментов всей цепочки. Использование доверенного системного бинарника позволяет атаке выглядеть легитимно и часто обходить антивирусы и политики контроля приложений. В качестве отвлекающего манёвра в браузере при этом открывается настоящий сайт администрирования Booking.com, чтобы жертва ничего не заподозрила.

Загруженный проект MSBuild содержит встроенный код, который сначала ослабляет защиту системы. В частности, он добавляет исключения в Windows Defender для важных каталогов и типов файлов, а при наличии прав администратора полностью отключает защиту в реальном времени. Это подготавливает почву для загрузки основного вредоносного компонента. Если прав администратора нет, вредонос начинает настойчиво показывать запросы контроля учётных записей, рассчитывая, что пользователь согласится, лишь бы всплывающие окна исчезли.

Финальной нагрузкой становится модифицированный DCRat, известный инструмент удалённого управления, тесно связанный с русскоязычной киберпреступной средой. Он устанавливает постоянный доступ к системе, внедряется в легитимные процессы Windows, перехватывает нажатия клавиш, собирает данные о системе и может загружать дополнительные модули, включая майнеры и другие вредоносные программы. Для закрепления в системе используется нетипичный приём с ярлыками формата .url в автозагрузке, которые указывают на локальный исполняемый файл.

Исследователи также обратили внимание на следы русского языка в служебных строках и отладочных сообщениях внутри вредоносного кода. Формулировки выглядят естественно и грамматически корректно, что указывает на разработку носителями языка или использование готового набора инструментов с русскоязычных подпольных форумов. Это хорошо сочетается с выбором DCRat, который давно популярен именно в этом сегменте.

Кампания PHALT#BLYX демонстрирует, насколько опасным может быть сочетание социальной инженерии и так называемых техник living off the land (LotL), когда для атаки используются стандартные средства самой операционной системы. В таких сценариях традиционная защита по сигнатурам часто запаздывает, а ключевым фактором становится поведение пользователя. Специалисты советуют уделять особое внимание обучению сотрудников, настороженно относиться к срочным финансовым письмам и внимательно следить за необычной активностью системных утилит вроде MSBuild. Именно в таких деталях сегодня всё чаще и прячется начало серьёзного инцидента.
 
Для ответа нужно войти/зарегистрироваться
Похожие темы
Admin Интересно Сертифицированный WAF: когда он нужен бизнесу. Новости в сети 0
Admin Интересно Роутеры улетают с полок. Россияне скупают их быстрее, чем когда-либо. Новости в сети 0
Admin Интересно Когда антивирус работает против тебя: новый способ взлома Windows за пару кликов. Новости в сети 0
Admin Интересно Когда антивирус на самом деле вирус. Хакеры придумали изящный способ обмануть Windows. Новости в сети 0
Admin Интересно Когда бэкап превращается в тыкву. Veeam случайно создала идеальную точку входа для хакеров. Новости в сети 0
Support81 2025: год, когда крипту стали выбивать из людей. Буквально Новости в сети 0
Support81 Когда-то блокировали — теперь ждут с документами: Telegram идёт в Роскомнадзор Новости в сети 0
Support81 Когда VPN — это преступление, а лайк может испортить жизнь Новости в сети 1
Support81 Когда MFA бессильна: AiTM-фишинг становится всё популярнее у злоумышленников Новости в сети 0
Support81 PySilon RAT: когда ваш Discord начинает работать на хакеров Новости в сети 0
Support81 Splinter: когда инструмент безопасности становится угрозой Новости в сети 0
Support81 Brainstack vs DDoSecrets: когда закон сталкивается с этикой Новости в сети 0
Support81 Когда рухнул интернет: паника, теории заговора и реальность Новости в сети 0
Support81 Шифрование TutaCrypt: когда электронные письма играют в прятки с квантами Новости в сети 0
DOMINUS Интересно Матрица уже в реальности? Создана VR-гарнитура, убивающая пользователя, когда он погибает в игре. Новости в сети 5
L Интересно Когда биткоин обновит исторический максимум Новости в сети 0
S То самое чувство когда попал на деньги и почувствовал что в тебе проснулся хакер Свободное общение 11
S Обнаружение вирусного кода в файликах, даже когда антивирус его не замечает. Полезные статьи 1
andre5787 Что можно сделать когда есть доступ к удаленному роутеру? Свободное общение 5
J Нужен статичный ip, когда у тебя динамика? Тогда мы идем к вам! Полезные статьи 13
Admin I Am Anonymous - когда я использую VPN - 10 мифов Анонимность и приватность 0
B когда вас достали))) Юмор 15
Admin Интересно Есть истины, которые математика никогда не докажет. 25-летний ученый продемонстрировал это — сломав науку навсегда. Новости в сети 0
Admin Интересно Черчилль, Мандела и Леонардо да Винчи теперь работают в правительстве. Только это чат-боты, и работают они на острове в Палаване. Новости в сети 0
Admin Интересно ChatGPT теперь знает, сколько вы тратите на кофе и готов это обсудить. Новости в сети 0
Admin Интересно Хронический недосып разрушает мозг, но учёные нашли способ остановить это. Новости в сети 0
Admin Интересно Время — самая надёжная вещь во Вселенной. Физики выяснили, что это, возможно, не так. Новости в сети 0
Admin Интересно Ваша фиолетовая команда не фиолетовая — это просто красная и синяя в одной комнате. Новости в сети 0
Admin Интересно Анонимность — это миф. Полиция уже читает переписки 22 тысяч пользователей Crimenetwork. Новости в сети 0
Admin Интересно Вашу работу теперь делает нейросеть? Это ещё не повод вас увольнять. Новости в сети 0
Admin Интересно Первый удар по VPN в США: как Юта хочет запретить анонимность, не имея на это технических средств. Новости в сети 0
Admin Интересно Вирус с легальной подписью. DigiCert взломали, и теперь «проверено антивирусом» — это не гарантия. Новости в сети 0
Admin Интересно ИИ переписал часть алфавита жизни. Бактерия с изменённой рибосомой выжила — и это только начало. Новости в сети 0
Admin Интересно ИИ врёт так же, как раньше. Но теперь он делает это мило — и вы ему доверяете. Новости в сети 0
Admin Интересно Не покупайте VPN на год вперёд. Инсайдер раскрыл, почему это может быть ловушкой. Новости в сети 0
Admin Интересно Claude взломал Chrome за 2283 доллара. Anthropic пыталась предотвратить это, но не смогла. Новости в сети 0
Admin Интересно Ubuntu просит 6 ГБ, Windows 11 — 4 ГБ. Что это значит на самом деле — и кто из них честнее с пользователем. Новости в сети 0
Admin Интересно Ускоритель частиц размером с карандаш. Мощность — как у километрового. И это работает. Новости в сети 0
Admin Интересно Правительство США зарегистрировало домен для пришельцев. А может, не для пришельцев. А может, это просто шутка. Новости в сети 0
Admin Интересно Слияние чёрных дыр на краю Вселенной — и крохотный атом на Земле это почувствовал. Новости в сети 0
Admin Интересно Программисты больше не пишут код. Они управляют армией ботов, которые делают это за них. Новости в сети 0
Admin Интересно Старение — это не износ. Это накопление РНК-убийц, которые клетка не может переварить. И теперь мы можем устранить их. Новости в сети 0
Admin Интересно Telegram рассчитывал на VPN. В Госдуме объяснили, почему это не сработает. Новости в сети 0
Admin Интересно Из вашего смартфона доносится шёпот китайского мужчины? Это троян BeatBanker отчаянно пытается удержаться в фоне. Новости в сети 0
Admin Интересно Ваш новый коллега на удалёнке подозрительно идеален. Возможно, это нейросеть из КНДР. Новости в сети 0
Admin Интересно Одна кнопка — и Black Hawk сам взлетел, завис и сел. Именно это всегда считалось невозможным для автопилота. Новости в сети 0
Admin Интересно Age assurance — это новые куки-баннеры, только гораздо опаснее и забирают ваши фото. Новости в сети 0
Admin Интересно Посмотрите на своего сисадмина. Возможно, это хакер из Muddled Libra, который просто «работает». Новости в сети 0
Admin Интересно Чат-боты теперь тоже «плохо помнят». Но это не старость, а хакерская диверсия. Новости в сети 0
Admin Интересно Ваш телефон теперь параноик. И это отличная новость. Разбираемся в новых мерах безопасности Google. Новости в сети 0

Название темы