Когда BSOD – это не баг, а фича. Злоумышленники научились профессионально притворяться сломанной «виндой»
NewsMakerМошенники нашли способ превратить обычный клик по письму в полноценный удалённый доступ к компьютеру.
Сообщение об отмене бронирования на Booking.com с внушительной суммой списания выглядит как обычная рабочая рутина для отелей и апартаментов. Но именно с такого письма начинается новая вредоносная кампания, которую специалисты Securonix отслеживают под именем PHALT#BLYX. Она наглядно показывает, как современные атаки всё чаще делают ставку не на уязвимости, а на психологию пользователей и доверие к штатным инструментам Windows.
Атака ориентирована на гостиничный бизнес и активно использовалась в разгар праздничного сезона. Жертвам приходят фишинговые письма о якобы отмене бронирования с деталями оплаты в евро. Это создаёт ощущение срочности и заставляет получателя как можно быстрее перейти по ссылке. Вместо настоящего сайта Booking.com пользователь попадает на качественную подделку, внешне почти не отличимую от оригинала. Логотипы, шрифты и цвета выглядят убедительно, а потому подозрений не вызывают.
На поддельной странице жертве показывают сообщение о якобы возникшей ошибке загрузки и предлагают обновить страницу. После клика браузер разворачивается на весь экран и имитирует синий экран смерти Windows. В состоянии стресса пользователю предлагают простой способ всё исправить. Нужно открыть окно Выполнить, вставить уже скопированную команду и нажать Enter. На самом деле в буфер обмена заранее был помещён вредоносный PowerShell скрипт. Таким образом человек сам запускает заражение, обходя многие автоматические механизмы защиты.
Дальше атака развивается в несколько этапов. PowerShell скрипт загружает специальный проектный файл для MSBuild и запускает его с помощью штатного инструмента сборки Microsoft. Это один из ключевых моментов всей цепочки. Использование доверенного системного бинарника позволяет атаке выглядеть легитимно и часто обходить антивирусы и политики контроля приложений. В качестве отвлекающего манёвра в браузере при этом открывается настоящий сайт администрирования Booking.com, чтобы жертва ничего не заподозрила.
Сообщение об отмене бронирования на Booking.com с внушительной суммой списания выглядит как обычная рабочая рутина для отелей и апартаментов. Но именно с такого письма начинается новая вредоносная кампания, которую специалисты Securonix отслеживают под именем PHALT#BLYX. Она наглядно показывает, как современные атаки всё чаще делают ставку не на уязвимости, а на психологию пользователей и доверие к штатным инструментам Windows.
Атака ориентирована на гостиничный бизнес и активно использовалась в разгар праздничного сезона. Жертвам приходят фишинговые письма о якобы отмене бронирования с деталями оплаты в евро. Это создаёт ощущение срочности и заставляет получателя как можно быстрее перейти по ссылке. Вместо настоящего сайта Booking.com пользователь попадает на качественную подделку, внешне почти не отличимую от оригинала. Логотипы, шрифты и цвета выглядят убедительно, а потому подозрений не вызывают.
На поддельной странице жертве показывают сообщение о якобы возникшей ошибке загрузки и предлагают обновить страницу. После клика браузер разворачивается на весь экран и имитирует синий экран смерти Windows. В состоянии стресса пользователю предлагают простой способ всё исправить. Нужно открыть окно Выполнить, вставить уже скопированную команду и нажать Enter. На самом деле в буфер обмена заранее был помещён вредоносный PowerShell скрипт. Таким образом человек сам запускает заражение, обходя многие автоматические механизмы защиты.
Дальше атака развивается в несколько этапов. PowerShell скрипт загружает специальный проектный файл для MSBuild и запускает его с помощью штатного инструмента сборки Microsoft. Это один из ключевых моментов всей цепочки. Использование доверенного системного бинарника позволяет атаке выглядеть легитимно и часто обходить антивирусы и политики контроля приложений. В качестве отвлекающего манёвра в браузере при этом открывается настоящий сайт администрирования Booking.com, чтобы жертва ничего не заподозрила.