多額の金銭取引を伴うBooking.comのキャンセルに関する通知は、宿泊事業者にとって単なる日常業務の一部に見える。しかし、そのような連絡は、Securonixの研究者がPHALT#BLYXという呼称で追跡する高度な悪性キャンペーンの前触れとなっている。本作戦は、従来の技術的脆弱性よりも、心理的操作と信頼されたWindowsユーティリティの悪用を優先するサイバー攻撃の増加傾向を象徴している。
この攻撃はとりわけホスピタリティ業界を標的としており、休暇シーズンの最盛期に急増する。被害者には、支払い詳細がユーロ建てで記載された、予約キャンセルを装うスピアフィッシングのメッセージが届く。この偽装は切迫感を作り出し、受信者に提示されたハイパーリンクをクリックさせる。正規のBooking.comポータルではなく、ユーザーは精巧に作り込まれた偽サイトへ誘導され、ロゴ、書体、配色といった見た目の忠実度は本物とほとんど見分けがつかない。
不正なランディングページでは、被害者は読み込みエラーを模した表示に遭遇し、画面の更新を促される。この操作により、悪名高いWindowsの「ブルースクリーン(BSOD)」を模倣した全画面ブラウザモードが起動する。緊張が高まる中、ユーザーには単純な対処法が提示される。「ファイル名を指定して実行」ダイアログを開き、事前にコピーされたコマンドを貼り付けて実行せよ、というものだ。実際には、悪意あるPowerShellスクリプトがすでに密かにシステムのクリップボードへ置かれている。その結果、ユーザーは気づかぬまま感染を開始し、多くの自動化されたセキュリティ境界を回避してしまう。
その後、攻撃は複数段階で展開される。PowerShellスクリプトは特別に用意されたMSBuildプロジェクトファイルを取得し、ネイティブのMicrosoftビルドエンジンで実行する。この手口は典型的な「Living off the Land」(LotL)技術であり、信頼されたシステムバイナリを利用することで、攻撃は正当性の外観をまとい、しばしばアンチウイルスのシグネチャやアプリケーション制御ポリシーをすり抜ける。陽動策として、正規のBooking.com管理ポータルがブラウザで開かれ、残る疑念を和らげる。
取り込まれたMSBuildプロジェクトには、システム防御を弱体化させるための埋め込みコードが含まれている。重要なディレクトリやファイル種別に対してWindows Defenderの除外設定を体系的に追加し、管理者権限が利用可能であればリアルタイム保護を完全に無効化する。権限がない場合でも、マルウェアはユーザーアカウント制御(UAC)のプロンプトを執拗に表示し、被害者が煩わしいポップアップを止めるために最終的に許可してしまうことに賭ける。
最終的なペイロードは、ロシア語圏のサイバー犯罪地下社会に深く根付いたリモートアクセスツールであるDCRatの改変版だ。正規のWindowsプロセスに自身をインジェクトすることで永続的なアクセスを確立し、キーストロークを傍受し、システムのテレメトリを流出させ、暗号資産マイナーなどの追加モジュールを展開する。永続化のために、マルウェアは異例の方法を用いる。スタートアップフォルダ内に、ローカルの悪意ある実行ファイルを指す.urlショートカットを配置するのだ。
研究者は、コードのデバッグ文字列やサービスのメタデータにロシア語の言語的痕跡が存在することを指摘している。文法の正確さは、ネイティブ話者の関与、あるいは闇フォーラム由来の高度なツールキットの利用を示唆する。この所見は、当該犯罪エコシステムで定番のDCRatが選ばれている点とも整合する。
PHALT#BLYXキャンペーンは、ソーシャルエンジニアリングとLotL手法の致命的な相乗効果を浮き彫りにしている。こうした状況では、従来のシグネチャベースの防御は不十分になりがちで、セキュリティの負担はユーザー行動へと移る。専門家は、徹底したスタッフ教育、緊急性を煽る金銭関連の連絡に対する健全な懐疑心、そしてMSBuildのようなシステムユーティリティにおける非典型的な活動の厳格な監視を推奨している。現代の脅威環境では、壊滅的なセキュリティ侵害の発端は、こうした一見ありふれた細部の中に隠れていることが多い。
翻訳元: https://meterpreter.org/the-clickfix-trap-phaltblyx-uses-fake-bsods-to-hijack-hotel-systems/
