PHALT#BLYX kampanja koristi ClickFix i lažni BSOD

AUTOR ·

PHALT#BLYX kampanja koristi ClickFix napade sa lažnim plavim ekranom smrti (BSOD) kako bi prevarila korisnike temom otkazivanja rezervacija na Booking.com platformi. Ovakav pristup naglašava sve veću naprednost napada društvenog inženjeringa u sektoru ugostiteljstva, gdje su zaposleni sve češće meta zlonamjernih aktera.

PHALTBLYX ClickFix BSOD

PHALT#BLYX kampanja koristi ClickFix i lažni BSOD; Source: Bing Image Creator

PHALT#BLYX KAMPANJA

Sigurnosni istraživači kompanije Securonix identifikovali su novu phishing kampanju pod nazivom PHALT#BLYX, koja je tokom praznične sezone ciljala hotele i ugostiteljske objekte širom Evrope. Kampanja predstavlja napredni oblik taktika društvenog inženjeringa, koje zlonamjerni akteri koriste da prevare žrtve i navedu ih na izvršavanje zlonamjernih PowerShell komandi.

Posebno je značajna upotreba lažnog Windows plavog ekrana smrti (BSOD), jer se oslanja na psihološku manipulaciju i izaziva osjećaj hitnosti kod korisnika. Poruka o grešci plavog ekrana smrti (BSOD) obično ukazuje na nepopravljivu grešku sistema i zahtijeva hitnu reakciju korisnika ili administratora. U ovom slučaju, zlonamjerni akteri su tu spoznaju iskoristili tako što su slali lažne poruke plavog ekrana smrti (BSOD), podstičući žrtve da pokrenu zlonamjerne PowerShell komande.

Primarni cilj kampanje bio je isporuka trojanca za udaljeni pristup (eng. remote access trojan – RAT), poznatog kao DCRat, na ugrožene sisteme. Ovaj zlonamjerni softver omogućava zlonamjernim akterima da uspostave uporište na ciljanoj mreži, kreću se bočno, ugroze druge uređaje i kradu osjetljive podatke. Kombinacija naprednih taktika društvenog inženjeringa i mehanizama isporuke zlonamjernog softvera naglašava stalnu evoluciju sajber prijetnji.

Fokus kampanje PHALT#BLYX na hotele i ugostiteljske objekte ukazuje na novi trend, gdje zlonamjerni akteri ciljaju industrije koje su često manje spremne da se odbrane od ovakvih napada. Ova ranjivost proizlazi dijelom iz nedostatka svijesti o naprednim taktikama društvenog inženjeringa u pojedinim sektorima i organizacijama.

Korištenje lažnih poruka plavog ekrana smrti (BSOD) pokazuje kako su zlonamjerni akteri prilagodili svoje tehnike da zaobiđu tradicionalne mjere bezbjednosti i iskoriste ranjivosti ljudske psihologije.

 

Početni vektor

Početni vektor infekcije u ovoj kampanji obuhvata phishing elektronsku poštu poslanu hotelskim radnicima, navodno od Booking.com platforme. Elektronska pošta obično upozorava na iznenađujuću naplatu u evrima, što će vjerovatno pobuditi interesovanje zaposlenih odgovornih za upravljanje rezervacijama i finansijama u hotelima. Nakon klika na link “Pogledajte detalje” koji se nalazi u elektronskoj pošti, primaoci se preusmjeravaju na internet stranicu koja izgleda legitimno, sa logotipom i brendom Booking.com platforme.

Umjesto prikazivanja informacija o statusu rezervacije ili plaćanja, ova lažna stranica Booking.com platforme korisnicima prikazuje ekran za provjeru. Takva početna obmana osmišljena je da žrtve uljulja u lažni osjećaj sigurnosti, jer mogu povjerovati da se od njih traži samo provjera određenog dijela procesa rezervacije. U stvarnosti, prava svrha ovog koraka jeste stvaranje prilike za zlonamjerne aktere da ubrizgaju zlonamjerni kôd na ugroženi uređaj.

Lažni ekran za provjeru predstavlja uvod u sljedeću fazu napada, koja uključuje prikazivanje poruke o grešci – plavog ekrana smrti (BSOD) preko cijelog ekrana Windows sistema. Ova vizuelna predstava nestabilnosti sistema i predstojeće propasti ima za cilj da uspaniči korisnike i natjera ih da odmah reaguju kako bi riješili ono što izgleda kao hitan tehnički problem. Cilj nije samo izazivanje straha, već i podsticanje žrtava da ručno izvršavaju zlonamjerne PowerShell komande, čime se zaobilaze uobičajene bezbjednosne zaštite koje bi inače spriječile samostalno preuzimanje zlonamjernog softvera.

 

ClickFix napad

Lažna poruka o grešci plavog ekrana smrti (BSOD) i panika koju izaziva kod korisnika predstavljaju ključne komponente klasičnog ClickFix napada. Ova taktika društvenog inženjeringa zasniva se na iskorištavanju ljudske psihologije kako bi se žrtve navele da izvrše radnje koje na kraju dovode do sopstvenog ugrožavanja. U ovom slučaju, zlonamjerni akteri osmislili su složen niz koraka sa ciljem da ubijede hotelske radnike da moraju ručno pokretati PowerShell komande kako bi otklonili ono što izgleda kao kritična sistemska greška.

Zlonamjerni kôd posebno je napravljen da zaobiđe automatske bezbjednosne kontrole i uobičajene metode samostalnog preuzimanja zlonamjernog softvera preko interneta. Time što žrtve same pokreću komande, zlonamjerni akteri uspijevaju da zaobiđu više slojeva zaštite osmišljenih da spriječe ovakve napade. Ovakav pristup im dodatno omogućava da održe vjerodostojno poricanje u vezi sa sopstvenim učešćem, jer nisu direktno odgovorni za isporuku zlonamjernih sadržaja.

PowerShell komande koje žrtve izvršavaju imaju višestruku svrhu. Prvo, omogućavaju sistemu da tiho preuzme dodatne datoteke i pokrene kôd zlonamjernog aktera koristeći legitimne Windows komponente. Na taj način zlonamjerni softver se besprijekorno uklapa u redovne aktivnosti na ugroženim uređajima, otežavajući bezbjednosnim alatima da otkriju njegovo prisustvo. Drugo, ove radnje na kraju dovode do instaliranja trojanca za udaljeni pristup (RAT), koji zlonamjernim akterima obezbjeđuje stalnu kontrolu nad pogođenim uređajem.

 

DCRat isporuka

Raspoređivanje i rad trojanca za udaljeni pristup (RAT) predstavljaju ključne komponente u ukupnom uspjehu kampanje, jer jednom instaliran na ugroženim uređajima zlonamjerni softver omogućava zlonamjernim akterima da uspostave trajne veze sa komandno-kontrolnim (C2) serverima i time dobiju mogućnost daljinskog pristupa i manipulacije inficiranim sistemima. Na taj način olakšavaju se aktivnosti poput krađe podataka ili isporuke dodatnih zlonamjernih sadržaja, što otvara prostor za dalje faze napada.

Upravo tu ulogu preuzima DCRat, napredni zlonamjerni softver koji održava kontrolu nad ugroženim sistemima. Kada se ubrizga u proces aspnet_compiler.exe koristeći ubacivanje zlonamjernog kôda u legitimne procese (eng. process hollowing), uspijeva da izbjegne otkrivanje od strane bezbjednosnog softvera i da uspostavi komunikaciju sa komandnim i kontrolnim (C2) serverima, čime se obezbjeđuje stabilna veza potrebna za dalji rad.

Dodatnu otpornost DCRat postiže upotrebom AES-256 šifrovanja i PBKDF2 za zaštitu konfiguracije, što garantuje da podešavanja ostanu nedostupna neovlaštenim pokušajima pristupa ili izmjena. Ovaj nivo zaštite čini obrnuti inženjering znatno težim, jer sigurnosni istraživači ne mogu analizirati softver bez rizika da naruše njegov integritet.

Komunikacija se održava preko više C2 servera, uključujući asj77[.]com, asj88[.]com i asj99[.]com, na portu 3535, čime se zlonamjernim akterima obezbjeđuje redundantnost u slučaju da neki od servera postanu nedostupni. Kada se veza uspostavi, DCRat prikuplja sistemske podatke, održava komunikaciju uživo i izvršava zadatke poput praćenja korisničkog unosa (eng. keylogging), udaljenog pristupa komandnom okruženju, snimanja ekrana i isporuke dodatnih podataka, uključujući rudare kriptovaluta. Na taj način zlonamjerni akteri ne samo da dobijaju sveobuhvatnu kontrolu nad ugroženim sistemima, već i ostvaruju prihod kroz nezakonite aktivnosti poput rudarenja.

Na kraju, sigurnosni istraživači su identifikovali ćirilične nizove za otklanjanje grešaka i strukturne sličnosti sa AsyncRAT zlonamjernim softverom, što ukazuje na povezanost kampanje sa programerima koji govore ruski i dodatno oslikava širi kontekst u kojem se DCRat koristi.

 

Mehanizmi postojanosti

Uspostavljanje postojanosti predstavlja ključni korak u raspoređivanju zlonamjernog softvera i održavanju kontrole nad ugroženim sistemima, a u slučaju DCRat zlonamjernog softvera to se postiže korištenjem URL prečice u direktorijumu Startup. Na taj način softver se pokreće nakon svakog ponovnog pokretanja, čime se obezbjeđuje trajni pristup osjetljivim informacijama i olakšava sprovođenje daljih napada bez otkrivanja od strane bezbjednosnog softvera.

Kreiranje ove prečice podrazumijeva manipulisanje sistemskim podešavanjima kako bi se zaobišli tradicionalni mehanizmi postojanosti, poput ključeva registra ili zakazanih zadataka. Iskorištavanjem mogućnosti direktorijuma Startup da automatski pokreće skripte nakon svakog ponovnog pokretanja, zlonamjerni akteri uspijevaju da održe kontrolu nad ugroženim sistemima, dok istovremeno izbjegavaju otkrivanje bezbjednosnim mjerama namijenjenim sprječavanju trajnih infekcija.

Ovakav pristup pokazuje svoju posebnu vrijednost kroz efikasnost u uspostavljanju dugoročne kontrole, jer omogućava kontinuiran pristup osjetljivim informacijama i sprovođenje daljih napada bez otkrivanja. Time DCRat demonstrira visok nivo prilagodljivosti među zlonamjernim akterima, koji stalno mijenjaju taktike kako bi izbjegli nadzor i blokadu od strane bezbjednosnog softvera.

 

Ciljevi kampanje

Usmjerenost kampanje PHALT#BLYX na evropske ugostiteljske organizacije tokom užurbane praznične sezone jasno pokazuje da su zlonamjerni akteri fokusirani na iskorištavanje ranjivosti u ovom sektoru. Poseban naglasak na naplate izražene u evrima u phishing elektronskoj pošti dodatno potvrđuje ovaj zaključak, jer ukazuje na interesovanje za finansijske transakcije koje su direktno povezane sa ovim organizacijama.

Takva strategija otkriva da su ciljevi zlonamjernog aktera usmjereni na isporuku DCRat zlonamjernog softvera i uspostavljanje stalnog pristupa ugroženim uređajima. Obezbjeđivanjem trajne kontrole oni dobijaju mogućnost da špijuniraju aktivnosti, isporučuju dodatne zlonamjerne sadržaje ili sprovode druge radnje koje mogu ugroziti hotelske operacije i osjetljive podatke.

Odabir perioda najveće aktivnosti u ugostiteljstvu dodatno naglašava namjeru da se iskoristi privremeni nedostatak zaposlenih ili povećano opterećenje unutar organizacija. Na taj način zlonamjerni akteri povećavaju šanse da njihova kampanja prođe neprimijećeno, dok istovremeno ostvaruju pristup podacima i sistemima od ključnog značaja za poslovanje.

 

UTICAJ

PHALT#BLYX kampanja pokazuje kako lažna poruka o grešci plavog ekrana smrti (BSOD) i obmanjujuće poruke mogu poremetiti osnovne tokove poslovanja u ugostiteljstvu, jer zaposleni suočeni sa pritiskom i iznenadnim upozorenjima prekidaju redovne zadatke, što dovodi do zastoja u rezervacijama, naplati i komunikaciji sa gostima. Takvi prekidi stvaraju domino efekat u kojem se svakodnevni rad usporava, a greške postaju češće, čime se narušava stabilnost poslovanja.

Na to se nadovezuje uticaj na bezbjednost podataka, budući da DCRat omogućava zlonamjernim akterima da neprimjetno prikupljaju informacije o gostima, finansijama i internim procedurama. Time se narušava povjerljivost poslovnih sistema i otvara prostor za dalju zloupotrebu, dok prisustvo zlonamjernog softvera u mreži znači da zlonamjerni akteri mogu pratiti tokove poslovanja i koristiti ih za sopstvene ciljeve.

Psihološki pritisak na zaposlene dodatno oblikuje posljedice kampanje, jer lažni plavi ekran smrti (BSOD) izaziva osjećaj hitnosti i straha, pa se odluke donose pod stresom, bez provjere. Takvo okruženje povećava vjerovatnoću da zaposleni sami pokrenu radnje koje ugrožavaju sistem, dok se istovremeno stvara nepovjerenje u interne alate i procedure, što dovodi do smanjenja efikasnosti i rasta nesigurnosti među timovima.

Finansijski aspekt obuhvata troškove sanacije, gubitak prihoda zbog prekida usluga i moguće kazne u slučaju curenja podataka. Kako zlonamjerni akteri ciljaju period povećane poslovne aktivnosti, vjerovatnoća da šteta prođe neprimijećeno postaje veća, a posljedice teže. Time se ugrožava stabilnost poslovanja upravo u najkritičnijem dijelu godine, kada organizacije zavise od povećanog broja rezervacija i transakcija.

Uz finansijske gubitke dolazi i udar na ugled, koji se ogleda kroz gubitak povjerenja gostiju i partnera. Kada se otkrije da su sistemi bili pod kontrolom zlonamjernih aktera, povjerenje u sigurnost poslovanja opada, pa se ugostiteljski objekti suočavaju sa dugotrajnim narušavanjem ugleda. Takve posljedice mogu trajati i nakon što se tehnički problemi uklone, jer povjerenje teško može biti brzo obnovljeno.

 

ZAKLJUČAK

PHALT#BLYX pokazuje koliko su napadi društvenog inženjeringa sazreli u pogađanju slabih tačaka ugostiteljstva—ne tehničkih, već ljudskih. Lažni plavi ekran smrti (BSOD) i poruke o naplati vezane za rezervacije stvaraju osjećaj hitnosti, prekidaju tok rada i guraju zaposlene da sami pokrenu radnje koje inače ne bi prošle bezbjednosne kontrole. Na taj način zaobilaze se standardne zaštite, a zlonamjerni akter dobija ulaz u sistem kroz povjerenje i pritisak, umjesto kroz ranjivost u softveru.

Suština kampanje svodi se na jednostavan cilj: natjerati korisnika da ručno izvrši PowerShell komande, a zatim tiho uspostaviti prisustvo DCRat zlonamjernog softvera, održati vezu sa komandnim (C2) serverima i širiti uticaj kroz mrežu. Ubrizgavanje kôda u legitimne procese, šifrovanje podešavanja i oslanjanje na više servera za komunikaciju otežavaju otkrivanje i uklanjanje, dok postojanost preko Startup prečice dodatno učvršćuje kontrolu bez oslanjanja na uobičajene tragove koji se lakše uočavaju.

Posljedice takvog pristupa su višeslojne: usporavanje operacija, greške u rezervacijama i naplati, narušena povjerljivost podataka o gostima i finansijama, te dugotrajan udar na ugled. Praznični period, obilježen manjkom osoblja i većim opterećenjem, čini ovakve napade ne samo vjerovatnijim, već i teže uočljivim. Kada se povjerenje jednom poljulja, tehničko čišćenje nije dovoljno – potrebno je vrijeme da se povrati sigurnost u procese i timove.

Pouka koja se izvlači nije prvenstveno tehnička, već organizaciona: sektori koji se oslanjaju na brzinu i povjerenje moraju podići prag sumnje i uvesti jasne korake provjere za sve što traži ručno pokretanje komandi ili izmjene sistema. Obuka zaposlenih, provjera izvora poruka, odvajanje poslovnih procesa od administrativnih privilegija i ograničavanje mogućnosti pokretanja skripti iz korisničkog okruženja smanjuju prostor za grešku. Uz to, praćenje neuobičajenih veza, procesa i promjena u Startup direktorijumu treba da postane dio svakodnevne kontrole.

PHALT#BLYX time ne djeluje kao izolovan slučaj, već kao signal promjene: zlonamjerni akteri sve češće ciljaju industrije sa visokim tempom rada i oslanjanjem na povjerenje, a uspjeh postižu pritiskom na ljude, ne samo na sisteme. Oni koji to prepoznaju i ugrade u svoje procedure – brže provjeravaju, sporije reaguju na “hitne” poruke i jasnije razdvajaju ovlaštenja – smanjuju rizik da strah i žurba postanu ulazna tačka u sopstvenu mrežu.

 

PREPORUKE

Zaštita od kampanje PHALT#BLYX zahtjeva budnost i pridržavanje najboljih praksi u sajber bezbjednosti.

  1. Organizacije treba da osiguraju da su filteri elektronske pošte podešeni da otkriju i blokiraju phishing elektronske poruke, uključujući i one koji imitiraju otkazivanja rezervacija na Booking.com platformi. Ovo se može postići implementacijom naprednih rješenja za zaštitu od naprednih trajnih prijetnja (eng. advanced persistent threat – APT) koja koriste algoritme mašinskog učenja za identifikaciju sumnjivih obrazaca.
  2. Hotelsko osoblje i drugi zaposleni moraju biti obučeni da prepoznaju znake phishing elektronske poruke ili lažnog ekrana za provjeru, uključujući neobične adrese pošiljalaca, hitan jezik i zahteve za osjetljivim informacijama. Ova obuka treba da naglasi važnost provjere elektronskih poruka putem više kanala prije preduzimanja akcije.
  3. Primjena provjere identiteta u više koraka (eng. multi-factor authentication – MFA) na svim nalozima može značajno smanjiti rizik od neovlaštenog pristupa sistemima i podacima. Ovo dodaje dodatni sloj bezbjednosti tako što zahtjeva od korisnika da dostave drugi oblik provjere, kao što je kôd poslat putem SMS poruke, elektronske pošte ili biometrijsko skeniranje.
  4. Uvjeriti se da su operativni sistemi, internet pregledači i druge aplikacije ažurirani najnovijim ažuriranjima i bezbjednosnim ispravkama. Zastareli softver može ostaviti ranjivosti otvorenim za iskorištavanje od strane zlonamjernih aktera.
  5. Instalirati renomirane antivirusne softvere na sve uređaje kako bi se otkrio i uklonio zlonamjerni softver. Pored toga, razmotriti primjenu rješenja za zaštitu krajnjih tačaka koja pružaju mogućnosti otkrivanja i reagovanja na prijetnje u stvarnom vremenu.
  6. Biti oprezan prilikom podešavanja izuzetaka za bezbjednosni softver, jer to može nenamjerno dozvoliti zlonamjernom kôdu da se pokreće nekontrolisano. Isključiti samo datoteke i direktorijume neophodne za legitimne sistemske operacije i redovno pregledati liste izuzetaka kako bi se osiguralo da ostaju relevantne.
  7. Redovno pratiti mrežnu aktivnost i podatke sistemskih zapisa kako bi se otkrile potencijalne prijetnje u stvarnom vremenu. Ovo omogućava IT timovima da brzo reaguju na sumnjive događaje prije nego što se nanese šteta.
  8. Razviti kontinuirani proces za identifikovanje, određivanje prioriteta i rješavanje ranjivosti u infrastrukturi i aplikacijama organizacije. Ovo pomaže da se osigura da se kritične ranjivosti brzo rješavaju.
  9. Obezbijediti zaposlenima sveobuhvatnu obuku o bezbjednosnoj svijesti kako bi se edukovali o različitim prijetnjama, uključujući taktike društvenog inženjeringa poput phishing napada i izgovora. Ovo bi trebalo da bude kontinuirani napor, jer se redovno pojavljuju nove prijetnje.
  10. Kada se dijele povjerljivi podaci ili podatke za prijavu, koristiti šifrovane metode komunikacije kao što su HTTPS ili virtuelna privatna mreža (VPN) kako bi se spriječilo presretanje od strane neovlaštenih strana.
  11. Ograničiti korisničke privilegije i dozvole na minimum potreban za njihove uloge, smanjujući površinu napada u slučaju ugrožavanja podataka za prijavu.
  12. Kada se koristi protokol udaljene radne površine (eng. Remote Desktop Protocol – RDP) ili druge slične tehnologije, uvjeriti se da su konfigurisane sa jakim lozinkama, omogućenim šifrovanjem i implementiranom provjerom identiteta u dva koraka (eng. two-factor authentication – 2FA) gdje je to moguće.
  13. Redovno praviti rezervne kopije kako bi se spriječili gubici u slučaju bezbjednosnog incidenta ili kvara sistema. Bezbjedno čuvati medije za rezervne kopije van lokacije kako bi se zaštitili od fizičkog oštećenja ili krađe.
  14. Razviti sveobuhvatni plan odgovora na sajber prijetnje koji opisuje procedure za reagovanje na i obuzdavanje bezbjednosnih incidenata, uključujući protokole komunikacije sa zainteresovanim stranama i pogođenim stranama.
  15. Uključivati se u periodične vježbe penetracijskog testiranja kako bi se identifikovale ranjivosti prije nego što ih zlonamjerni akteri mogu iskoristiti. Ovo pomaže da se osigura da je odbrana organizacije robusna protiv raznih prijetnji.
  16. Sprovoditi stroge politike lozinki, uključujući zahteve za složenost, dužinu i učestalost rotacije, kako bi se spriječio neovlašten pristup putem napada grubom silom ili ugroženih podataka za prijavu.
  17. Kada se prijavljuju ili razgovara o pitanjima vezanim za bezbjednost sa spoljnim stranama, kao što su agencije za sprovođenje zakona ili timovi za reagovanje na incidente, osigurati da se sva komunikacija odvija putem šifrovanih kanala kako bi se spriječilo da neovlaštene osobe presretnu osjetljive informacije.

Zaštita od kampanje PHALT#BLYX zahtjeva sveobuhvatan pristup koji obuhvata više aspekata sajber bezbjednosti. Primjena ovih preporuka može značajno smanjiti izloženost riziku od ove i drugih sličnih prijetnji.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.