Хакеры атакуют европейские отели, используя поддельные экраны ошибок Windows
Новая кампания кибератак, известная как PHALT#BLYX, нацелена на гостиницы и компании сферы гостеприимства в Европе. Злоумышленники используют комбинацию фишинга и социальной инженерии, чтобы заставить сотрудников самостоятельно запускать вредоносный код на рабочих компьютерах.
Атака начинается с фишинговых писем, стилизованных под уведомления от популярного сервиса бронирования, в которых говорится о якобы отменённых резервациях и возможных финансовых потерях. Переход по ссылке ведёт на поддельный сайт, который сначала показывает ложный CAPTCHA, а затем демонстрирует полный экран поддельного «синего экрана смерти» Windows (BSOD), что создаёт впечатление серьёзной системной ошибки.
Для «исправления» этой ошибки злоумышленники побуждают пользователя открыть системное окно и вставить предложенную команду, что запускает PowerShell-скрипт. Этот скрипт загружает и выполняет дополнительный вредоносный код с использованием легитимного инструмента MSBuild, что позволяет обойти встроенные средства защиты и обеспечивать дальнейшую загрузку и выполнение зловредов.
Конечным результатом такой цепочки является установка удалённого доступа Trojan (далее - DCRat), который даёт злоумышленникам постоянный контроль над заражённой системой, позволяет регистрировать нажатия клавиш, управлять процессами и загружать дополнительные полезные нагрузки.
Эксперты подчёркивают, что эта кампания иллюстрирует развитие техники ClickFix - злоумышленники всё активнее комбинируют социальную инженериию с использованием доверенных системных компонентов, чтобы облегчить выполнение вредоносных действий пользователями и обойти автоматические механизмы защиты.
Организациям рекомендуется усиливать обучение персонала для распознавания фишинговых писем и поддельных уведомлений, внедрять жёсткие правила исполнения командной оболочки и применять расширенные фильтры электронной почты, чтобы снизить риск подобных инцидентов.
похожие материалы
В сети появились сообщения об исключении домена YouTube из DNS Роскомнадзора
Telegram-канал ExploitEx сообщил о признаках усиления ограничений в отношении видеохостинга YouTube в России.
Роскомнадзор начал вводить меры по частичному ограничению работы Telegram в России
Власти приняли решение приступить к поэтапному ограничению работы мессенджера Telegram в России.
Исследователи зафиксировали рост кооперации политически мотивированных хакерских группировок
Центр мониторинга и реагирования на киберугрозы RED Security SOC сообщил о формировании устойчивого тренда на кооперацию политически мотивированных хакерских группировок при атаках на российский бизнес.
Минцифры планирует создать площадку для тестирования ИИ на безопасность
Для систем искусственного интеллекта высокого и критического уровня риска потребуется получать сертификат на соответствие требованиям безопасности Федеральной службы по техническому и экспертному контролю (ФСТЭК) и Федеральной службы безопасности (ФСБ).
«Газинформсервис» подтвердил членство в РОСЭУ и анонсировал создание системы независимого аудита УЦ
Компания «Газинформсервис» подтвердила статус члена Ассоциации РОСЭУ на 2026 год.
BeyondTrust выпустила патч для устранения критической уязвимости
По данным официального бюллетеня безопасности, компания BeyondTrust опубликовала предупреждение о критической уязвимости в продуктах Remote Support и Privileged Remote Access, позволяющей злоумышленнику удалённо выполнить произвольный код без предварительной аутентификации.
Эксперты прогнозируют увеличение объема рынка облачных сервисов до более 1 трлн рублей
Объем российского рынка облачных сервисов к 2030 году достигнет 1,2 трлн рублей при среднегодовых темпах роста в 24,4%, говорится в предварительных оценках компаний РТК-ЦОД и iKS-Consulting.
Эксперты предупреждают о рисках использования бесплатных VPN-сервисов
Специалисты по кибербезопасности предупреждают, что бесплатные VPN-сервисы могут представлять серьезные риски для конфиденциальности и безопасности пользователей.
Облака в одном окне: «Группа Астра» анонсирует Clouden для централизованного управления гибридной инфраструктурой
«Группа Астра» вывела на рынок Clouden — решение для централизованного управления гибридной и мультиоблачной инфраструктурой.
СберКорус и «Актив» выпустили лимитированную партию премиальных ключевых носителей
Оператор электронного документооборота СберКорус совместно с крупнейшим российским производителем и разработчиком программно-аппаратных средств защиты информации.