ロシア関連のハッカーが、偽のWindowsのブルースクリーン(BSOD)クラッシュを使ってスタッフをだまし、マルウェアを自分でインストールさせることで、欧州のホテルやその他のホスピタリティ事業者にマルウェアを忍び込ませている。
今週公開されたレポートで、Securonixの脅威研究者は、PHALT#BLYXと呼ぶステルス性の高い感染キャンペーンを追跡していると述べた。これは悪名高いClickFix攻撃のソーシャルエンジニアリング型亜種を中心に据えたもので、Booking.comの予約キャンセルを装ったフィッシングメールから始まる。
手口は単純だ。ホテルの従業員が、Booking.comからのものに見えるメールを受け取る。多くの場合、目を疑うような高額のユーロ建て請求について警告してくる。「詳細を見る」リンクをたどると、本物のBooking.comページのように見えるサイトに誘導される――ただし予約情報の代わりに、偽の認証画面が表示され、すぐに全画面のWindows BSODによる脅しへと切り替わる。
この偽BSODは、存在しないエラーを「修正」させるためにユーザーをパニックに陥れ、最終的に悪意のあるPowerShellコマンドを貼り付けて実行させる一連の手順を踏ませるよう設計されている。これはClickFix攻撃の典型的な特徴だ。被害者が手動でコードを実行するため、従来のドライブバイ方式のマルウェアダウンロードを阻止するような多くの自動セキュリティ制御を回避できる。
コマンドが実行されると、システムは追加ファイルをひそかにダウンロードし、正規のWindowsコンポーネントを使って攻撃者のコードを実行する。これによりマルウェアは通常の活動に紛れ込み、セキュリティツールをすり抜けやすくなる。Securonixによれば、最終的にはリモートアクセス型トロイの木馬がインストールされ、侵入者は侵害されたマシンを継続的に制御できるようになり、活動の監視やさらなる悪性ソフトウェアの投入が可能になるという。
同社は、攻撃者が数か月にわたって感染チェーンを進化させてきたと指摘する。以前のより単純なHTMLアプリケーション手法から、より高度なMSBuildベースの実行へ移行しているのだ。この変化により、従来型のアンチウイルスツールでは悪意ある活動を検知しにくくなる。
ユーロ建て請求の強調や、繁忙なホリデーシーズンにホスピタリティ組織を狙っている点は、このキャンペーンが欧州企業を明確に標的としていることを示唆している、と研究者は述べた。MSBuildのプロジェクトファイルにはロシア語の使用を示す追加の痕跡もあり、またDCRatファミリー自体がロシアのアンダーグラウンドフォーラムで広く取引されていることから、ロシアに関連する不正行為者が関与している可能性が強まっている。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/01/06/russia_hackers_hotel_bsods/
