Когда BSOD – это не баг, а фича. Злоумышленники научились профессионально притворяться сломанной «виндой»

Сообщение об отмене бронирования на Booking.com с внушительной суммой списания выглядит как обычная рабочая рутина для отелей и апартаментов. Но именно с такого письма начинается новая вредоносная кампания, которую специалисты Securonix отслеживают под именем PHALT#BLYX. Она наглядно показывает, как современные атаки всё чаще делают ставку не на уязвимости, а на психологию пользователей и доверие к штатным инструментам Windows.

Атака ориентирована на гостиничный бизнес и активно использовалась в разгар праздничного сезона. Жертвам приходят фишинговые письма о якобы отмене бронирования с деталями оплаты в евро. Это создаёт ощущение срочности и заставляет получателя как можно быстрее перейти по ссылке. Вместо настоящего сайта Booking.com пользователь попадает на качественную подделку, внешне почти не отличимую от оригинала. Логотипы, шрифты и цвета выглядят убедительно, а потому подозрений не вызывают.

На поддельной странице жертве показывают сообщение о якобы возникшей ошибке загрузки и предлагают обновить страницу. После клика браузер разворачивается на весь экран и имитирует синий экран смерти Windows. В состоянии стресса пользователю предлагают простой способ всё исправить. Нужно открыть окно Выполнить, вставить уже скопированную команду и нажать Enter. На самом деле в буфер обмена заранее был помещён вредоносный PowerShell скрипт. Таким образом человек сам запускает заражение, обходя многие автоматические механизмы защиты.

Дальше атака развивается в несколько этапов. PowerShell скрипт загружает специальный проектный файл для MSBuild и запускает его с помощью штатного инструмента сборки Microsoft. Это один из ключевых моментов всей цепочки. Использование доверенного системного бинарника позволяет атаке выглядеть легитимно и часто обходить антивирусы и политики контроля приложений. В качестве отвлекающего манёвра в браузере при этом открывается настоящий сайт администрирования Booking.com, чтобы жертва ничего не заподозрила.

Загруженный проект MSBuild содержит встроенный код, который сначала ослабляет защиту системы. В частности, он добавляет исключения в Windows Defender для важных каталогов и типов файлов, а при наличии прав администратора полностью отключает защиту в реальном времени. Это подготавливает почву для загрузки основного вредоносного компонента. Если прав администратора нет, вредонос начинает настойчиво показывать запросы контроля учётных записей, рассчитывая, что пользователь согласится, лишь бы всплывающие окна исчезли.

Финальной нагрузкой становится модифицированный DCRat, известный инструмент удалённого управления, тесно связанный с русскоязычной киберпреступной средой. Он устанавливает постоянный доступ к системе, внедряется в легитимные процессы Windows, перехватывает нажатия клавиш, собирает данные о системе и может загружать дополнительные модули, включая майнеры и другие вредоносные программы. Для закрепления в системе используется нетипичный приём с ярлыками формата .url в автозагрузке, которые указывают на локальный исполняемый файл.

Исследователи также обратили внимание на следы русского языка в служебных строках и отладочных сообщениях внутри вредоносного кода. Формулировки выглядят естественно и грамматически корректно, что указывает на разработку носителями языка или использование готового набора инструментов с русскоязычных подпольных форумов. Это хорошо сочетается с выбором DCRat, который давно популярен именно в этом сегменте.

Кампания PHALT#BLYX демонстрирует, насколько опасным может быть сочетание социальной инженерии и так называемых техник living off the land (LotL), когда для атаки используются стандартные средства самой операционной системы. В таких сценариях традиционная защита по сигнатурам часто запаздывает, а ключевым фактором становится поведение пользователя. Специалисты советуют уделять особое внимание обучению сотрудников, настороженно относиться к срочным финансовым письмам и внимательно следить за необычной активностью системных утилит вроде MSBuild. Именно в таких деталях сегодня всё чаще и прячется начало серьёзного инцидента.