详细内容或原文请订阅后点击阅览
虚假 Booking.com 诱惑和 BSoD 诈骗在欧洲酒店业传播 DCRat
PHALT#BLYX 通过虚假预订电子邮件和 BSoD 诱饵以欧洲酒店为目标,诱骗员工安装 DCRat 远程访问木马。研究人员发现了 2025 年 12 月下旬的一项名为 PHALT#BLYX 的活动,该活动针对欧洲酒店,发送虚假的 Booking 主题电子邮件。使用 ClickFix 式的诱饵将受害者重定向到虚假的 BSoD 页面,提示他们应用“修复”。多阶段攻击最终 [...]
来源:Security Affairs _恶意软件虚假 Booking.com 诱惑和 BSoD 诈骗在欧洲酒店业传播 DCRat
PHALT#BLYX 通过虚假预订电子邮件和 BSoD 诱饵以欧洲酒店为目标,诱骗员工安装 DCRat 远程访问木马。
研究人员发现了 2025 年 12 月下旬的一项名为 PHALT#BLYX 的活动,该活动针对欧洲酒店,发送虚假的 Booking 主题电子邮件。
使用 ClickFix 式的诱饵将受害者重定向到虚假的 BSoD 页面,提示他们应用“修复”。据 Securonix 称,多阶段攻击最终会安装 DCRat 远程访问木马,从而实现对受感染系统的完全远程控制。
“一个被追踪为 PHALT#BLYX 的持续恶意软件活动已被确定为一个多阶段感染链,该感染链从点击修复和虚假验证码社会工程策略开始,并部署定制的 DCRat 有效负载。”阅读 Securonix 发布的报告。 “对于初始访问,威胁行为者利用虚假的 booking.com 预订取消诱饵来诱骗受害者执行恶意 PowerShell 命令,这些命令会默默地获取并执行远程代码。这是通过涉及 powershell、proj 文件和 msbuild 的多个阶段来实现的。”
PHALT#BLYX 活动针对使用以 Booking.com 为主题的网络钓鱼电子邮件的欧洲酒店公司。
受害者被引诱到带有验证码提示的虚假网站,触发虚假的蓝屏死机 (BSoD),诱骗用户运行恶意 PowerShell 命令(“ClickFix”)。
“该电子邮件提醒收件人“预订取消”,并显着地显示一笔巨额财务费用(例如 1,004.38 欧元)。这种高额费用会造成一种紧迫感和恐慌感,迫使受害者立即进行调查。”报告继续。 “一旦他们点击“查看详细信息”按钮来验证费用。该链接不会指向 Booking.com。相反,它会通过中间重定向器(`oncameraworkout[.com/ksbo`)引导用户,然后登陆恶意域名“low-house[.com”。”
皮尔路易吉·帕格尼尼