{"id":8849,"date":"2026-01-11T18:18:31","date_gmt":"2026-01-11T17:18:31","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=8849"},"modified":"2026-01-11T18:18:31","modified_gmt":"2026-01-11T17:18:31","slug":"phaltblyx-kampanja-koristi-clickfix-i-lazni-bsod","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2026\/01\/11\/phaltblyx-kampanja-koristi-clickfix-i-lazni-bsod\/","title":{"rendered":"PHALT#BLYX kampanja koristi ClickFix i la\u017eni BSOD"},"content":{"rendered":"<p><em>PHALT#BLYX<\/em> kampanja koristi <em>ClickFix<\/em> napade sa la\u017enim plavim ekranom smrti (<em>BSOD<\/em>) kako bi prevarila korisnike temom otkazivanja rezervacija na <em>Booking.com<\/em> platformi. Ovakav pristup nagla\u0161ava sve ve\u0107u naprednost napada dru\u0161tvenog in\u017eenjeringa u sektoru ugostiteljstva, gdje su zaposleni sve \u010de\u0161\u0107e meta <a href=\"https:\/\/sajberinfo.com\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernih aktera<\/a>.<\/p>\n<div id=\"attachment_8850\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-8850\" class=\"wp-image-8850 size-full\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2026\/01\/PHALTBLYX-kampanja-v2.jpg\" alt=\"PHALTBLYX ClickFix BSOD\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2026\/01\/PHALTBLYX-kampanja-v2.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2026\/01\/PHALTBLYX-kampanja-v2-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2026\/01\/PHALTBLYX-kampanja-v2-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2026\/01\/PHALTBLYX-kampanja-v2-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2026\/01\/PHALTBLYX-kampanja-v2-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2026\/01\/PHALTBLYX-kampanja-v2-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2026\/01\/PHALTBLYX-kampanja-v2-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-8850\" class=\"wp-caption-text\"><em>PHALT#BLYX kampanja koristi ClickFix i la\u017eni BSOD; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2026\/01\/11\/phaltblyx-kampanja-koristi-clickfix-i-lazni-bsod\/#PHALTBLYX_KAMPANJA\" >PHALT#BLYX KAMPANJA<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2026\/01\/11\/phaltblyx-kampanja-koristi-clickfix-i-lazni-bsod\/#Pocetni_vektor\" >Po\u010detni vektor<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2026\/01\/11\/phaltblyx-kampanja-koristi-clickfix-i-lazni-bsod\/#ClickFix_napad\" >ClickFix napad<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2026\/01\/11\/phaltblyx-kampanja-koristi-clickfix-i-lazni-bsod\/#DCRat_isporuka\" >DCRat isporuka<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2026\/01\/11\/phaltblyx-kampanja-koristi-clickfix-i-lazni-bsod\/#Mehanizmi_postojanosti\" >Mehanizmi postojanosti<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sajberinfo.com\/en\/2026\/01\/11\/phaltblyx-kampanja-koristi-clickfix-i-lazni-bsod\/#Ciljevi_kampanje\" >Ciljevi kampanje<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/sajberinfo.com\/en\/2026\/01\/11\/phaltblyx-kampanja-koristi-clickfix-i-lazni-bsod\/#UTICAJ\" >UTICAJ<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/sajberinfo.com\/en\/2026\/01\/11\/phaltblyx-kampanja-koristi-clickfix-i-lazni-bsod\/#ZAKLJUCAK\" >ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/sajberinfo.com\/en\/2026\/01\/11\/phaltblyx-kampanja-koristi-clickfix-i-lazni-bsod\/#PREPORUKE\" >PREPORUKE<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"PHALTBLYX_KAMPANJA\"><\/span><strong><em>PHALT#BLYX<\/em> KAMPANJA<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><a href=\"https:\/\/sajberinfo.com\/2022\/02\/27\/hakeri-eticki-hakeri-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">Sigurnosni istra\u017eiva\u010di<\/a> kompanije <em>Securonix<\/em> <a href=\"https:\/\/www.securonix.com\/blog\/analyzing-phaltblyx-how-fake-bsods-and-trusted-build-tools-are-used-to-construct-a-malware-infection\/\" target=\"_blank\" rel=\"noopener\">identifikovali<\/a> su novu <a href=\"https:\/\/sajberinfo.com\/2022\/01\/02\/phishing-meta-su-ljudi-ne-tehnologija\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> <\/a>kampanju pod nazivom <em>PHALT#BLYX<\/em>, koja je tokom prazni\u010dne sezone ciljala hotele i ugostiteljske objekte \u0161irom Evrope. Kampanja predstavlja napredni oblik taktika dru\u0161tvenog in\u017eenjeringa, koje zlonamjerni akteri koriste da prevare \u017ertve i navedu ih na izvr\u0161avanje zlonamjernih <em>PowerShell<\/em> komandi.<\/p>\n<p>Posebno je zna\u010dajna upotreba la\u017enog <em>Windows<\/em> plavog ekrana smrti (<em>BSOD<\/em>), jer se oslanja na psiholo\u0161ku manipulaciju i izaziva osje\u0107aj hitnosti kod korisnika. Poruka o gre\u0161ci plavog ekrana smrti (<em>BSOD<\/em>) obi\u010dno ukazuje na nepopravljivu gre\u0161ku sistema i zahtijeva hitnu reakciju korisnika ili administratora. U ovom slu\u010daju, zlonamjerni akteri su tu spoznaju iskoristili tako \u0161to su slali la\u017ene poruke plavog ekrana smrti (<em>BSOD<\/em>), podsti\u010du\u0107i \u017ertve da pokrenu zlonamjerne <em>PowerShell<\/em> komande.<\/p>\n<p>Primarni cilj kampanje bio je isporuka trojanca za udaljeni pristup (eng. <em>remote access trojan \u2013 RAT<\/em>), poznatog kao <em>DCRat<\/em>, na ugro\u017eene sisteme. Ovaj <a href=\"https:\/\/sajberinfo.com\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni softver<\/a> omogu\u0107ava zlonamjernim akterima da uspostave upori\u0161te na ciljanoj mre\u017ei, <a href=\"https:\/\/sajberinfo.com\/2023\/11\/09\/lateral-movement\/\" target=\"_blank\" rel=\"nofollow noopener\">kre\u0107u se bo\u010dno<\/a>, ugroze druge ure\u0111aje i kradu osjetljive podatke. Kombinacija naprednih taktika dru\u0161tvenog in\u017eenjeringa i mehanizama isporuke zlonamjernog softvera nagla\u0161ava stalnu evoluciju sajber prijetnji.<\/p>\n<p>Fokus kampanje <em>PHALT#BLYX<\/em> na hotele i ugostiteljske objekte ukazuje na novi trend, gdje zlonamjerni akteri ciljaju industrije koje su \u010desto manje spremne da se odbrane od ovakvih napada. Ova ranjivost proizlazi dijelom iz nedostatka svijesti o naprednim taktikama dru\u0161tvenog in\u017eenjeringa u pojedinim sektorima i organizacijama.<\/p>\n<p>Kori\u0161tenje la\u017enih poruka plavog ekrana smrti (<em>BSOD<\/em>) pokazuje kako su zlonamjerni akteri prilagodili svoje tehnike da zaobi\u0111u tradicionalne mjere bezbjednosti i iskoriste ranjivosti ljudske psihologije.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Pocetni_vektor\"><\/span><strong>Po\u010detni vektor<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Po\u010detni vektor infekcije u ovoj kampanji obuhvata <a href=\"https:\/\/sajberinfo.com\/2022\/02\/23\/phishing\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> <\/a>elektronsku po\u0161tu poslanu hotelskim radnicima, navodno od <em>Booking.com<\/em> platforme. Elektronska po\u0161ta obi\u010dno upozorava na iznena\u0111uju\u0107u naplatu u evrima, \u0161to \u0107e vjerovatno pobuditi interesovanje zaposlenih odgovornih za upravljanje rezervacijama i finansijama u hotelima. Nakon klika na link \u201c<em>Pogledajte detalje<\/em>\u201d koji se nalazi u elektronskoj po\u0161ti, primaoci se preusmjeravaju na internet stranicu koja izgleda legitimno, sa logotipom i brendom <em>Booking.com<\/em> platforme.<\/p>\n<p>Umjesto prikazivanja informacija o statusu rezervacije ili pla\u0107anja, ova la\u017ena stranica <em>Booking.com<\/em> platforme korisnicima prikazuje ekran za provjeru. Takva po\u010detna obmana osmi\u0161ljena je da \u017ertve uljulja u la\u017eni osje\u0107aj sigurnosti, jer mogu povjerovati da se od njih tra\u017ei samo provjera odre\u0111enog dijela procesa rezervacije. U stvarnosti, prava svrha ovog koraka jeste stvaranje prilike za zlonamjerne aktere da ubrizgaju zlonamjerni k\u00f4d na ugro\u017eeni ure\u0111aj.<\/p>\n<p>La\u017eni ekran za provjeru predstavlja uvod u sljede\u0107u fazu napada, koja uklju\u010duje prikazivanje poruke o gre\u0161ci \u2013 plavog ekrana smrti (<em>BSOD<\/em>) preko cijelog ekrana <em>Windows<\/em> sistema. Ova vizuelna predstava nestabilnosti sistema i predstoje\u0107e propasti ima za cilj da uspani\u010di korisnike i natjera ih da odmah reaguju kako bi rije\u0161ili ono \u0161to izgleda kao hitan tehni\u010dki problem. Cilj nije samo izazivanje straha, ve\u0107 i podsticanje \u017ertava da ru\u010dno izvr\u0161avaju zlonamjerne <em>PowerShell<\/em> komande, \u010dime se zaobilaze uobi\u010dajene bezbjednosne za\u0161tite koje bi ina\u010de sprije\u010dile samostalno preuzimanje zlonamjernog softvera.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"ClickFix_napad\"><\/span><strong><em>ClickFix<\/em> napad<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>La\u017ena poruka o gre\u0161ci plavog ekrana smrti (<em>BSOD<\/em>) i panika koju izaziva kod korisnika predstavljaju klju\u010dne komponente klasi\u010dnog <em>ClickFix<\/em> napada. Ova taktika dru\u0161tvenog in\u017eenjeringa zasniva se na iskori\u0161tavanju ljudske psihologije kako bi se \u017ertve navele da izvr\u0161e radnje koje na kraju dovode do sopstvenog ugro\u017eavanja. U ovom slu\u010daju, zlonamjerni akteri osmislili su slo\u017een niz koraka sa ciljem da ubijede hotelske radnike da moraju ru\u010dno pokretati <em>PowerShell<\/em> komande kako bi otklonili ono \u0161to izgleda kao kriti\u010dna sistemska gre\u0161ka.<\/p>\n<p>Zlonamjerni k\u00f4d posebno je napravljen da zaobi\u0111e automatske bezbjednosne kontrole i uobi\u010dajene metode samostalnog preuzimanja zlonamjernog softvera preko interneta. Time \u0161to \u017ertve same pokre\u0107u komande, zlonamjerni akteri uspijevaju da zaobi\u0111u vi\u0161e slojeva za\u0161tite osmi\u0161ljenih da sprije\u010de ovakve napade. Ovakav pristup im dodatno omogu\u0107ava da odr\u017ee vjerodostojno poricanje u vezi sa sopstvenim u\u010de\u0161\u0107em, jer nisu direktno odgovorni za isporuku zlonamjernih sadr\u017eaja.<\/p>\n<p><em>PowerShell<\/em> komande koje \u017ertve izvr\u0161avaju imaju vi\u0161estruku svrhu. Prvo, omogu\u0107avaju sistemu da tiho preuzme dodatne datoteke i pokrene k\u00f4d zlonamjernog aktera koriste\u0107i legitimne <em>Windows<\/em> komponente. Na taj na\u010din zlonamjerni softver se besprijekorno uklapa u redovne aktivnosti na ugro\u017eenim ure\u0111ajima, ote\u017eavaju\u0107i bezbjednosnim alatima da otkriju njegovo prisustvo. Drugo, ove radnje na kraju dovode do instaliranja trojanca za udaljeni pristup (<em>RAT<\/em>), koji zlonamjernim akterima obezbje\u0111uje stalnu kontrolu nad pogo\u0111enim ure\u0111ajem.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"DCRat_isporuka\"><\/span><strong><em>DCRat<\/em> isporuka<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Raspore\u0111ivanje i rad trojanca za udaljeni pristup (<em>RAT<\/em>) predstavljaju klju\u010dne komponente u ukupnom uspjehu kampanje, jer jednom instaliran na ugro\u017eenim ure\u0111ajima zlonamjerni softver omogu\u0107ava zlonamjernim akterima da uspostave trajne veze sa komandno-kontrolnim (<em>C2<\/em>) serverima i time dobiju mogu\u0107nost daljinskog pristupa i manipulacije inficiranim sistemima. Na taj na\u010din olak\u0161avaju se aktivnosti poput kra\u0111e podataka ili isporuke dodatnih zlonamjernih sadr\u017eaja, \u0161to otvara prostor za dalje faze napada.<\/p>\n<p>Upravo tu ulogu preuzima <em>DCRat<\/em>, napredni zlonamjerni softver koji odr\u017eava kontrolu nad ugro\u017eenim sistemima. Kada se ubrizga u proces <em>aspnet_compiler.exe<\/em> koriste\u0107i ubacivanje zlonamjernog k\u00f4da u legitimne procese (eng. <em>process hollowing<\/em>), uspijeva da izbjegne otkrivanje od strane bezbjednosnog softvera i da uspostavi komunikaciju sa komandnim i kontrolnim (<em>C2<\/em>) serverima, \u010dime se obezbje\u0111uje stabilna veza potrebna za dalji rad.<\/p>\n<p>Dodatnu otpornost <em>DCRat<\/em> posti\u017ee upotrebom <em>AES-256<\/em> <a href=\"https:\/\/sajberinfo.com\/2022\/03\/20\/enkripcija-podataka-istorija-i-osnove-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovanja<\/a> i <em>PBKDF2<\/em> za za\u0161titu konfiguracije, \u0161to garantuje da pode\u0161avanja ostanu nedostupna neovla\u0161tenim poku\u0161ajima pristupa ili izmjena. Ovaj nivo za\u0161tite \u010dini obrnuti in\u017eenjering znatno te\u017eim, jer sigurnosni istra\u017eiva\u010di ne mogu analizirati softver bez rizika da naru\u0161e njegov integritet.<\/p>\n<p>Komunikacija se odr\u017eava preko vi\u0161e C2 servera, uklju\u010duju\u0107i <em>asj77[.]com<\/em>, <em>asj88[.]com<\/em> i <em>asj99[.]com<\/em>, na portu <em>3535<\/em>, \u010dime se zlonamjernim akterima obezbje\u0111uje redundantnost u slu\u010daju da neki od servera postanu nedostupni. Kada se veza uspostavi, <em>DCRat<\/em> prikuplja sistemske podatke, odr\u017eava komunikaciju u\u017eivo i izvr\u0161ava zadatke poput <a href=\"https:\/\/sajberinfo.com\/2021\/10\/01\/keyloggers\/\" target=\"_blank\" rel=\"nofollow noopener\">pra\u0107enja korisni\u010dkog unosa<\/a> (eng. <em>keylogging<\/em>), udaljenog pristupa komandnom okru\u017eenju, snimanja ekrana i isporuke dodatnih podataka, uklju\u010duju\u0107i rudare kriptovaluta. Na taj na\u010din zlonamjerni akteri ne samo da dobijaju sveobuhvatnu kontrolu nad ugro\u017eenim sistemima, ve\u0107 i ostvaruju prihod kroz nezakonite aktivnosti poput rudarenja.<\/p>\n<p>Na kraju, sigurnosni istra\u017eiva\u010di su identifikovali \u0107irili\u010dne nizove za otklanjanje gre\u0161aka i strukturne sli\u010dnosti sa <a href=\"https:\/\/sajberinfo.com\/2024\/02\/10\/asyncrat-zloupotrebljava-javascript\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>AsyncRAT<\/em> <\/a>zlonamjernim softverom, \u0161to ukazuje na povezanost kampanje sa programerima koji govore ruski i dodatno oslikava \u0161iri kontekst u kojem se <em>DCRat<\/em> koristi.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Mehanizmi_postojanosti\"><\/span><strong>Mehanizmi postojanosti<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Uspostavljanje postojanosti predstavlja klju\u010dni korak u raspore\u0111ivanju zlonamjernog softvera i odr\u017eavanju kontrole nad ugro\u017eenim sistemima, a u slu\u010daju <em>DCRat<\/em> zlonamjernog softvera to se posti\u017ee kori\u0161tenjem <em>URL<\/em> pre\u010dice u direktorijumu <em>Startup<\/em>. Na taj na\u010din softver se pokre\u0107e nakon svakog ponovnog pokretanja, \u010dime se obezbje\u0111uje trajni pristup osjetljivim informacijama i olak\u0161ava sprovo\u0111enje daljih napada bez otkrivanja od strane bezbjednosnog softvera.<\/p>\n<p>Kreiranje ove pre\u010dice podrazumijeva manipulisanje sistemskim pode\u0161avanjima kako bi se zaobi\u0161li tradicionalni mehanizmi postojanosti, poput klju\u010deva registra ili zakazanih zadataka. Iskori\u0161tavanjem mogu\u0107nosti direktorijuma <em>Startup<\/em> da automatski pokre\u0107e skripte nakon svakog ponovnog pokretanja, zlonamjerni akteri uspijevaju da odr\u017ee kontrolu nad ugro\u017eenim sistemima, dok istovremeno izbjegavaju otkrivanje bezbjednosnim mjerama namijenjenim sprje\u010davanju trajnih infekcija.<\/p>\n<p>Ovakav pristup pokazuje svoju posebnu vrijednost kroz efikasnost u uspostavljanju dugoro\u010dne kontrole, jer omogu\u0107ava kontinuiran pristup osjetljivim informacijama i sprovo\u0111enje daljih napada bez otkrivanja. Time <em>DCRat<\/em> demonstrira visok nivo prilagodljivosti me\u0111u zlonamjernim akterima, koji stalno mijenjaju taktike kako bi izbjegli nadzor i blokadu od strane bezbjednosnog softvera.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Ciljevi_kampanje\"><\/span><strong>Ciljevi kampanje<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Usmjerenost kampanje <em>PHALT#BLYX<\/em> na evropske ugostiteljske organizacije tokom u\u017eurbane prazni\u010dne sezone jasno pokazuje da su zlonamjerni akteri fokusirani na iskori\u0161tavanje ranjivosti u ovom sektoru. Poseban naglasak na naplate izra\u017eene u evrima u <em>phishing<\/em> elektronskoj po\u0161ti dodatno potvr\u0111uje ovaj zaklju\u010dak, jer ukazuje na interesovanje za finansijske transakcije koje su direktno povezane sa ovim organizacijama.<\/p>\n<p>Takva strategija otkriva da su ciljevi zlonamjernog aktera usmjereni na isporuku <em>DCRat<\/em> zlonamjernog softvera i uspostavljanje stalnog pristupa ugro\u017eenim ure\u0111ajima. Obezbje\u0111ivanjem trajne kontrole oni dobijaju mogu\u0107nost da \u0161pijuniraju aktivnosti, isporu\u010duju dodatne zlonamjerne sadr\u017eaje ili sprovode druge radnje koje mogu ugroziti hotelske operacije i osjetljive podatke.<\/p>\n<p>Odabir perioda najve\u0107e aktivnosti u ugostiteljstvu dodatno nagla\u0161ava namjeru da se iskoristi privremeni nedostatak zaposlenih ili pove\u0107ano optere\u0107enje unutar organizacija. Na taj na\u010din zlonamjerni akteri pove\u0107avaju \u0161anse da njihova kampanja pro\u0111e neprimije\u0107eno, dok istovremeno ostvaruju pristup podacima i sistemima od klju\u010dnog zna\u010daja za poslovanje.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"UTICAJ\"><\/span><strong>UTICAJ<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><em>PHALT#BLYX<\/em> kampanja pokazuje kako la\u017ena poruka o gre\u0161ci plavog ekrana smrti (<em>BSOD<\/em>) i obmanjuju\u0107e poruke mogu poremetiti osnovne tokove poslovanja u ugostiteljstvu, jer zaposleni suo\u010deni sa pritiskom i iznenadnim upozorenjima prekidaju redovne zadatke, \u0161to dovodi do zastoja u rezervacijama, naplati i komunikaciji sa gostima. Takvi prekidi stvaraju domino efekat u kojem se svakodnevni rad usporava, a gre\u0161ke postaju \u010de\u0161\u0107e, \u010dime se naru\u0161ava stabilnost poslovanja.<\/p>\n<p>Na to se nadovezuje uticaj na bezbjednost podataka, budu\u0107i da <em>DCRat<\/em> omogu\u0107ava zlonamjernim akterima da neprimjetno prikupljaju informacije o gostima, finansijama i internim procedurama. Time se naru\u0161ava povjerljivost poslovnih sistema i otvara prostor za dalju zloupotrebu, dok prisustvo zlonamjernog softvera u mre\u017ei zna\u010di da zlonamjerni akteri mogu pratiti tokove poslovanja i koristiti ih za sopstvene ciljeve.<\/p>\n<p>Psiholo\u0161ki pritisak na zaposlene dodatno oblikuje posljedice kampanje, jer la\u017eni plavi ekran smrti (<em>BSOD<\/em>) izaziva osje\u0107aj hitnosti i straha, pa se odluke donose pod stresom, bez provjere. Takvo okru\u017eenje pove\u0107ava vjerovatno\u0107u da zaposleni sami pokrenu radnje koje ugro\u017eavaju sistem, dok se istovremeno stvara nepovjerenje u interne alate i procedure, \u0161to dovodi do smanjenja efikasnosti i rasta nesigurnosti me\u0111u timovima.<\/p>\n<p>Finansijski aspekt obuhvata tro\u0161kove sanacije, gubitak prihoda zbog prekida usluga i mogu\u0107e kazne u slu\u010daju curenja podataka. Kako zlonamjerni akteri ciljaju period pove\u0107ane poslovne aktivnosti, vjerovatno\u0107a da \u0161teta pro\u0111e neprimije\u0107eno postaje ve\u0107a, a posljedice te\u017ee. Time se ugro\u017eava stabilnost poslovanja upravo u najkriti\u010dnijem dijelu godine, kada organizacije zavise od pove\u0107anog broja rezervacija i transakcija.<\/p>\n<p>Uz finansijske gubitke dolazi i udar na ugled, koji se ogleda kroz gubitak povjerenja gostiju i partnera. Kada se otkrije da su sistemi bili pod kontrolom zlonamjernih aktera, povjerenje u sigurnost poslovanja opada, pa se ugostiteljski objekti suo\u010davaju sa dugotrajnim naru\u0161avanjem ugleda. Takve posljedice mogu trajati i nakon \u0161to se tehni\u010dki problemi uklone, jer povjerenje te\u0161ko mo\u017ee biti brzo obnovljeno.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong>ZAKLJU\u010cAK<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><em>PHALT#BLYX<\/em> pokazuje koliko su napadi dru\u0161tvenog in\u017eenjeringa sazreli u poga\u0111anju slabih ta\u010daka ugostiteljstva\u2014ne tehni\u010dkih, ve\u0107 ljudskih. La\u017eni plavi ekran smrti (<em>BSOD<\/em>) i poruke o naplati vezane za rezervacije stvaraju osje\u0107aj hitnosti, prekidaju tok rada i guraju zaposlene da sami pokrenu radnje koje ina\u010de ne bi pro\u0161le bezbjednosne kontrole. Na taj na\u010din zaobilaze se standardne za\u0161tite, a zlonamjerni akter dobija ulaz u sistem kroz povjerenje i pritisak, umjesto kroz ranjivost u softveru.<\/p>\n<p>Su\u0161tina kampanje svodi se na jednostavan cilj: natjerati korisnika da ru\u010dno izvr\u0161i <em>PowerShell<\/em> komande, a zatim tiho uspostaviti prisustvo <em>DCRat<\/em> zlonamjernog softvera, odr\u017eati vezu sa komandnim (<em>C2<\/em>) serverima i \u0161iriti uticaj kroz mre\u017eu. Ubrizgavanje k\u00f4da u legitimne procese, <a href=\"https:\/\/sajberinfo.com\/2022\/04\/10\/enkripcija-podataka-funkcionisanje-i-vrste-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovanje<\/a> pode\u0161avanja i oslanjanje na vi\u0161e servera za komunikaciju ote\u017eavaju otkrivanje i uklanjanje, dok postojanost preko <em>Startup<\/em> pre\u010dice dodatno u\u010dvr\u0161\u0107uje kontrolu bez oslanjanja na uobi\u010dajene tragove koji se lak\u0161e uo\u010davaju.<\/p>\n<p>Posljedice takvog pristupa su vi\u0161eslojne: usporavanje operacija, gre\u0161ke u rezervacijama i naplati, naru\u0161ena povjerljivost podataka o gostima i finansijama, te dugotrajan udar na ugled. Prazni\u010dni period, obilje\u017een manjkom osoblja i ve\u0107im optere\u0107enjem, \u010dini ovakve napade ne samo vjerovatnijim, ve\u0107 i te\u017ee uo\u010dljivim. Kada se povjerenje jednom poljulja, tehni\u010dko \u010di\u0161\u0107enje nije dovoljno \u2013 potrebno je vrijeme da se povrati sigurnost u procese i timove.<\/p>\n<p>Pouka koja se izvla\u010di nije prvenstveno tehni\u010dka, ve\u0107 organizaciona: sektori koji se oslanjaju na brzinu i povjerenje moraju podi\u0107i prag sumnje i uvesti jasne korake provjere za sve \u0161to tra\u017ei ru\u010dno pokretanje komandi ili izmjene sistema. Obuka zaposlenih, provjera izvora poruka, odvajanje poslovnih procesa od administrativnih privilegija i ograni\u010davanje mogu\u0107nosti pokretanja skripti iz korisni\u010dkog okru\u017eenja smanjuju prostor za gre\u0161ku. Uz to, pra\u0107enje neuobi\u010dajenih veza, procesa i promjena u <em>Startup<\/em> direktorijumu treba da postane dio svakodnevne kontrole.<\/p>\n<p><em>PHALT#BLYX<\/em> time ne djeluje kao izolovan slu\u010daj, ve\u0107 kao signal promjene: zlonamjerni akteri sve \u010de\u0161\u0107e ciljaju industrije sa visokim tempom rada i oslanjanjem na povjerenje, a uspjeh posti\u017eu pritiskom na ljude, ne samo na sisteme. Oni koji to prepoznaju i ugrade u svoje procedure \u2013 br\u017ee provjeravaju, sporije reaguju na \u201c<em>hitne<\/em>\u201d poruke i jasnije razdvajaju ovla\u0161tenja \u2013 smanjuju rizik da strah i \u017eurba postanu ulazna ta\u010dka u sopstvenu mre\u017eu.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"PREPORUKE\"><\/span><strong>PREPORUKE<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Za\u0161tita od kampanje <em>PHALT#BLYX<\/em> zahtjeva budnost i pridr\u017eavanje najboljih praksi u sajber bezbjednosti.<\/p>\n<ol>\n<li>Organizacije treba da osiguraju da su filteri elektronske po\u0161te pode\u0161eni da otkriju i blokiraju <em>phishing<\/em> elektronske poruke, uklju\u010duju\u0107i i one koji imitiraju otkazivanja rezervacija na <em>Booking.com<\/em> platformi. Ovo se mo\u017ee posti\u0107i implementacijom naprednih rje\u0161enja za za\u0161titu od <a href=\"https:\/\/sajberinfo.com\/2020\/12\/08\/apt-sponzorisani-napadi\/\" target=\"_blank\" rel=\"nofollow noopener\">naprednih trajnih prijetnja<\/a> (eng. <em>advanced persistent threat \u2013 APT<\/em>) koja koriste algoritme ma\u0161inskog u\u010denja za identifikaciju sumnjivih obrazaca.<\/li>\n<li>Hotelsko osoblje i drugi zaposleni moraju biti obu\u010deni da prepoznaju znake <em>phishing<\/em> elektronske poruke ili la\u017enog ekrana za provjeru, uklju\u010duju\u0107i neobi\u010dne adrese po\u0161iljalaca, hitan jezik i zahteve za osjetljivim informacijama. Ova obuka treba da naglasi va\u017enost provjere elektronskih poruka putem vi\u0161e kanala prije preduzimanja akcije.<\/li>\n<li>Primjena provjere identiteta u vi\u0161e koraka (eng. <em>multi-factor authentication \u2013 MFA<\/em>) na svim nalozima mo\u017ee zna\u010dajno smanjiti rizik od neovla\u0161tenog pristupa sistemima i podacima. Ovo dodaje dodatni sloj bezbjednosti tako \u0161to zahtjeva od korisnika da dostave drugi oblik provjere, kao \u0161to je k\u00f4d poslat putem <em>SMS<\/em> poruke, elektronske po\u0161te ili biometrijsko skeniranje.<\/li>\n<li>Uvjeriti se da su operativni sistemi, internet pregleda\u010di i druge aplikacije a\u017eurirani najnovijim a\u017euriranjima i bezbjednosnim ispravkama. Zastareli softver mo\u017ee ostaviti ranjivosti otvorenim za iskori\u0161tavanje od strane zlonamjernih aktera.<\/li>\n<li>Instalirati renomirane <a href=\"https:\/\/sajberinfo.com\/2021\/08\/17\/antivirusni-softver\/\" target=\"_blank\" rel=\"nofollow noopener\">antivirusne softvere<\/a> na sve ure\u0111aje kako bi se otkrio i uklonio zlonamjerni softver. Pored toga, razmotriti primjenu rje\u0161enja za za\u0161titu krajnjih ta\u010daka koja pru\u017eaju mogu\u0107nosti otkrivanja i reagovanja na prijetnje u stvarnom vremenu.<\/li>\n<li>Biti oprezan prilikom pode\u0161avanja izuzetaka za bezbjednosni softver, jer to mo\u017ee nenamjerno dozvoliti zlonamjernom k\u00f4du da se pokre\u0107e nekontrolisano. Isklju\u010diti samo datoteke i direktorijume neophodne za legitimne sistemske operacije i redovno pregledati liste izuzetaka kako bi se osiguralo da ostaju relevantne.<\/li>\n<li>Redovno pratiti mre\u017enu aktivnost i podatke sistemskih zapisa kako bi se otkrile potencijalne prijetnje u stvarnom vremenu. Ovo omogu\u0107ava <em>IT<\/em> timovima da brzo reaguju na sumnjive doga\u0111aje prije nego \u0161to se nanese \u0161teta.<\/li>\n<li>Razviti kontinuirani proces za identifikovanje, odre\u0111ivanje prioriteta i rje\u0161avanje ranjivosti u infrastrukturi i aplikacijama organizacije. Ovo poma\u017ee da se osigura da se kriti\u010dne ranjivosti brzo rje\u0161avaju.<\/li>\n<li>Obezbijediti zaposlenima sveobuhvatnu obuku o bezbjednosnoj svijesti kako bi se edukovali o razli\u010ditim prijetnjama, uklju\u010duju\u0107i taktike dru\u0161tvenog in\u017eenjeringa poput <em>phishing<\/em> napada i izgovora. Ovo bi trebalo da bude kontinuirani napor, jer se redovno pojavljuju nove prijetnje.<\/li>\n<li>Kada se dijele povjerljivi podaci ili podatke za prijavu, koristiti \u0161ifrovane metode komunikacije kao \u0161to su <em>HTTPS<\/em> ili <a href=\"https:\/\/sajberinfo.com\/2021\/10\/17\/vpn-sigurno-mrezno-povezivanje\/\" target=\"_blank\" rel=\"nofollow noopener\">virtuelna privatna mre\u017ea<\/a> (<em>VPN<\/em>) kako bi se sprije\u010dilo presretanje od strane neovla\u0161tenih strana.<\/li>\n<li>Ograni\u010diti korisni\u010dke privilegije i dozvole na minimum potreban za njihove uloge, smanjuju\u0107i povr\u0161inu napada u slu\u010daju ugro\u017eavanja podataka za prijavu.<\/li>\n<li>Kada se koristi protokol udaljene radne povr\u0161ine (eng. <em>Remote Desktop Protocol \u2013 RDP<\/em>) ili druge sli\u010dne tehnologije, uvjeriti se da su konfigurisane sa jakim <a href=\"https:\/\/sajberinfo.com\/2019\/02\/24\/lozinka-password-sifra\/\" target=\"_blank\" rel=\"nofollow noopener\">lozinkama<\/a>, omogu\u0107enim \u0161ifrovanjem i implementiranom provjerom identiteta u dva koraka (eng. <em>two-factor authentication \u2013 2FA<\/em>) gdje je to mogu\u0107e.<\/li>\n<li>Redovno praviti <a href=\"https:\/\/sajberinfo.com\/2020\/11\/02\/rezervna-kopija-i-cuvanje-podataka\/\" target=\"_blank\" rel=\"nofollow noopener\">rezervne kopije<\/a> kako bi se sprije\u010dili gubici u slu\u010daju bezbjednosnog incidenta ili kvara sistema. Bezbjedno \u010duvati medije za rezervne kopije van lokacije kako bi se za\u0161titili od fizi\u010dkog o\u0161te\u0107enja ili kra\u0111e.<\/li>\n<li>Razviti sveobuhvatni <a href=\"https:\/\/sajberinfo.com\/2020\/10\/26\/plan-odgovora-na-sajber-prijetnju\/\" target=\"_blank\" rel=\"nofollow noopener\">plan odgovora na sajber prijetnje<\/a> koji opisuje procedure za reagovanje na i obuzdavanje bezbjednosnih incidenata, uklju\u010duju\u0107i protokole komunikacije sa zainteresovanim stranama i pogo\u0111enim stranama.<\/li>\n<li>Uklju\u010divati se u periodi\u010dne vje\u017ebe penetracijskog testiranja kako bi se identifikovale ranjivosti prije nego \u0161to ih zlonamjerni akteri mogu iskoristiti. Ovo poma\u017ee da se osigura da je odbrana organizacije robusna protiv raznih prijetnji.<\/li>\n<li>Sprovoditi stroge politike lozinki, uklju\u010duju\u0107i zahteve za slo\u017eenost, du\u017einu i u\u010destalost rotacije, kako bi se sprije\u010dio neovla\u0161ten pristup putem <a href=\"https:\/\/sajberinfo.com\/2023\/09\/07\/brute-force-attack\/\" target=\"_blank\" rel=\"nofollow noopener\">napada grubom silom<\/a> ili ugro\u017eenih podataka za prijavu.<\/li>\n<li>Kada se prijavljuju ili razgovara o pitanjima vezanim za bezbjednost sa spoljnim stranama, kao \u0161to su agencije za sprovo\u0111enje zakona ili timovi za reagovanje na incidente, osigurati da se sva komunikacija odvija putem \u0161ifrovanih kanala kako bi se sprije\u010dilo da neovla\u0161tene osobe presretnu osjetljive informacije.<\/li>\n<\/ol>\n<p>Za\u0161tita od kampanje <em>PHALT#BLYX<\/em> zahtjeva sveobuhvatan pristup koji obuhvata vi\u0161e aspekata <a href=\"https:\/\/sajberinfo.com\/2018\/12\/23\/sajber-bezbjednost\/\" target=\"_blank\" rel=\"nofollow noopener\">sajber bezbjednosti<\/a>. Primjena ovih preporuka mo\u017ee zna\u010dajno smanjiti izlo\u017eenost riziku od ove i drugih sli\u010dnih prijetnji.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>PHALT#BLYX kampanja koristi ClickFix napade sa la\u017enim plavim ekranom smrti (BSOD) kako bi prevarila korisnike temom otkazivanja rezervacija na Booking.com platformi. Ovakav pristup nagla\u0161ava sve ve\u0107u naprednost napada dru\u0161tvenog in\u017eenjeringa u sektoru ugostiteljstva, gdje&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":8850,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[3861,3781,3859,1346,3858,547,3856,93,3860,61,210,3862,3864,910,3865,3863,3857,3688],"class_list":["post-8849","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-booking-com-prevara","tag-clickfix","tag-dataleak","tag-dcrat","tag-hotelski-sistemi","tag-keylogging","tag-lazni-bsod","tag-malware","tag-phaltblyx","tag-phishing","tag-podaci","tag-powershell-komande","tag-praznicna-sezona","tag-process-hollowing","tag-startup-precica","tag-udaljeni-pristup","tag-ugostiteljstvo","tag-zlonamjerni-kod"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/8849","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=8849"}],"version-history":[{"count":6,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/8849\/revisions"}],"predecessor-version":[{"id":8856,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/8849\/revisions\/8856"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/8850"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=8849"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=8849"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=8849"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}