文章总结： 威胁行为者发起PHALT#BLYX攻击，针对酒店业，利用虚假预订邮件和伪造蓝屏死机诱骗受害者执行恶意PowerShell命令。攻击滥用微软签名的MSBuild.exe加载DCRat木马，绕过杀毒检测并建立持久化。该木马具备键盘记录和远程控制功能，建议加强社会工程学防范及对系统工具的异常行为监控。 综合评分： 85 文章分类： 威胁情报,恶意软件,社会工程学,免杀,网络安全

威胁行为者伪造蓝屏死机和可信构建工具，绕过防御并部署 DCRat

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年1月26日 19:01 北京

一种新的恶意软件攻击活动利用虚假的蓝屏死机警告和受信任的微软构建工具来传播危险的远程访问木马。

该行动代号为 PHALT#BLYX，目标是酒店餐饮企业，通过发送欺骗性的预订取消电子邮件来诱骗受害者在其系统上运行恶意代码。

攻击始于毫无戒心的员工收到伪装成Booking[.]com预订提醒的极具迷惑性的钓鱼邮件。

这些消息显示超过 1000 欧元的惊人费用，立即引起恐慌，并促使收件人点击“查看详情”进行核实。

受害者非但没有获得合法的预订信息，反而进入了精心制作的虚假网站，这些网站从颜色、字体到徽标都模仿了真正的 Booking.com 界面。

这种心理操纵利用了紧迫感和经济压力，使目标更容易忽视正常的安全防范措施。

一旦进入欺诈页面，受害者会遇到一个虚假的浏览器加载错误，随后出现一个模拟的蓝屏死机，看起来逼真得令人震惊。

该页面指示用户通过按 Windows 键 + R，然后粘贴剪贴板内容并按 Enter 键来“修复”问题。

ClickFix 技术诱骗用户手动执行 PowerShell 命令，下载恶意项目文件并通过合法的 Microsoft 编译工具 MSBuild.exe 启动这些文件。

Securonix 的研究人员通过追踪攻击策略的演变，从更简单的 HTML 应用程序交付方法到目前复杂的基于 MSBuild 的感染链，发现了这一攻击活动。

这种转变代表着一种战略性的适应，即采用“自给自足”的技术，滥用可信的系统实用程序来逃避传统的防病毒检测。

分析显示恶意软件代码中嵌入了俄语字符串，这表明它与经常在地下论坛中使用 DCRat 的俄语威胁组织有关联。

多阶段感染过程和防御逃避

恶意 PowerShell 投放器会同时执行多个关键操作。

它会打开合法的 Booking.com 管理页面作为诱饵，同时秘密地在整个系统中搜索 MSBuild.exe，从攻击者的基础架构下载名为 v.proj 的项目文件，并通过 Microsoft 工具启动它。

由于 MSBuild.exe 具有有效的 Microsoft 签名，应用程序白名单和终端安全解决方案通常无法将其执行标记为可疑。

v.proj 文件包含嵌入式 PowerShell 脚本，该脚本通过添加整个 ProgramData 目录和特定文件扩展名（包括 .exe、.ps1 和 .proj）的排除项，立即针对 Windows Defender 进行攻击。

这种准备工作确保最终有效载荷能够成功加载到磁盘上，而不会触发隔离警报。

然后，该恶意软件会尝试通过 UAC 垃圾邮件策略来提升权限，反复弹出窗口提示用户授予管理员权限，旨在耗尽用户的抵抗力。

该恶意软件通过启动文件夹中的 Internet 快捷方式文件建立持久性后，会部署 staxs.exe，这是一个经过高度混淆的 DCRat 变种。

该有效载荷使用 AES-256 加密和 PBKDF2 密钥派生，并通过端口 3535 连接到 asj77.com、asj88.com 和 asj99.com 的命令与控制服务器。

该木马通过进程空洞化将自身注入到合法的系统进程（例如 aspnet_compiler.exe）中，从而有效地将恶意活动隐藏在受信任的 Windows 二进制文件背后。

DCRat 的功能包括键盘记录、远程桌面访问、进程注入以及下载二级有效载荷（例如加密货币挖矿程序）的能力。

该恶意软件会收集全面的系统指纹信息，包括硬件标识符、已安装的防病毒软件、活动窗口标题和域成员身份，然后将这些信息发送回操作员。

这些信息使攻击者能够评估受害者的价值，并部署适当的后续工具，以窃取凭证、横向移动或部署勒索软件。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《威胁行为者伪造蓝屏死机和可信构建工具，绕过防御并部署 DCRat》