Un messaggio di cancellazione da Booking.com con una penale elevata sembra una pratica commerciale tipica di hotel e appartamenti. Ma è proprio questo tipo di email a dare il via a una nuova campagna malware, monitorata dagli specialisti di Securonix con il nome di PHALT#BLYX. Dimostra chiaramente come gli attacchi moderni si basino sempre più non sulle vulnerabilità, ma sulla psicologia dell’utente e sulla fiducia negli strumenti integrati di Windows.
L’attacco prende di mira il settore alberghiero ed è stato utilizzato attivamente durante l’alta stagione delle vacanze. Le vittime ricevono email di phishing che presumibilmente chiedono la cancellazione di una prenotazione, con i dettagli del pagamento in euro. Questo crea un senso di urgenza e spinge il destinatario a cliccare sul link il più rapidamente possibile. Invece del vero sito web di Booking.com, l’utente viene reindirizzato a un falso di alta qualità, quasi indistinguibile dall’originale. I loghi, i caratteri e i colori appaiono convincenti e quindi non destano sospetti.
La pagina falsa visualizza un messaggio su un presunto errore di download e chiede alla vittima di aggiornare la pagina. Dopo aver cliccato, il browser si espande a schermo intero e simula la schermata blu di errore di Windows. All’utente viene offerta una semplice soluzione: aprire la finestra Esegui, incollare il comando copiato e premere Invio. In realtà, uno script PowerShell dannoso è stato inserito negli appunti. Questo consente alla vittima di avviare l’infezione, aggirando molti meccanismi di protezione automatici.
Advertising
L’attacco si sviluppa quindi in diverse fasi. Lo script PowerShell scarica uno speciale file di progetto MSBuild e lo esegue utilizzando lo strumento di build nativo di Microsoft. Questo è un passaggio chiave dell’intera catena. L’utilizzo di un binario di sistema attendibile consente all’attacco di apparire legittimo e spesso di aggirare i software antivirus e le policy di controllo delle applicazioni. Come diversivo, il sito di amministrazione legittimo di Booking.com si apre nel browser per eludere il rilevamento.
Il progetto MSBuild scaricato contiene codice incorporato che inizialmente indebolisce la sicurezza del sistema. Nello specifico, aggiunge esclusioni a Windows Defender per directory e tipi di file importanti e, se sono presenti privilegi di amministratore, disabilita completamente la protezione in tempo reale. Questo apre la strada al download del componente dannoso principale. Se i privilegi di amministratore non sono presenti, il malware visualizza costantemente richieste di Controllo dell’account utente, nella speranza che l’utente acconsenta a questi pop-up.
Il payload finale è un DCRat modificato , un noto strumento di controllo remoto strettamente associato ai criminali informatici di lingua russa. Stabilisce un accesso persistente al sistema, si infiltra nei processi Windows legittimi, intercetta le sequenze di tasti, raccoglie dati di sistema e può scaricare moduli aggiuntivi, inclusi miner e altri malware. Per stabilire la persistenza, utilizza una tecnica insolita che prevede collegamenti .url nella cartella di avvio, che puntano a un file eseguibile locale.
I ricercatori hanno anche rilevato tracce di russo nelle stringhe di servizio e nei messaggi di debug all’interno del codice dannoso. La formulazione appare naturale e grammaticalmente corretta, il che indica che il malware è stato sviluppato da madrelingua o che è stato utilizzato un toolkit già pronto, reperibile su forum underground in lingua russa. Ciò si allinea perfettamente alla scelta di DCRat, da tempo popolare in questo segmento.
La campagna PHALT#BLYX dimostra quanto possa essere pericolosa una combinazione di ingegneria sociale e cosiddette tecniche di “living off the land ” (LotL), che utilizzano strumenti standard dei sistemi operativi per gli attacchi. In tali scenari, la protezione tradizionale basata sulle firme spesso risulta insufficiente e il comportamento degli utenti diventa il fattore chiave. Gli esperti consigliano di prestare particolare attenzione alla formazione dei dipendenti, di diffidare delle email finanziarie urgenti e di monitorare attentamente le attività insolite nelle utility di sistema come MSBuild. È proprio in questi dettagli che si celano sempre più i primi segnali di un incidente grave.
Advertising
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella.
Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.