惡意軟體攻擊：假冒 Booking.com 瞄準酒店業

攻擊背景

根據Securonix於2026年1月5日的報告，俄羅斯威脅行為者在繁忙的假期期間，針對酒店業展開了一場多階段的惡意軟體攻擊。該攻擊利用假冒的Booking.com預訂取消通知作為初始進入點。

詳細攻擊手法

1. 使用社交工程技術

攻擊者採用ClickFix社交工程技術，包含假冒CAPTCHA及假冒藍屏死機（BSOD）等步驟，最終部署自定義的DCRat遠端存取木馬，允許攻擊者獲得系統的遠端存取權限並部署其他惡意軟體。

2. 攻擊目標定位

研究人員Shikha Sangwan、Akshay Gaikwad及Aaron Beardslee指出，攻擊者利用Booking.com這一主題，並特別在釣魚郵件中使用歐元計價的房間費用，顯示此活動主要針對歐洲的酒店業者。此外，攻擊者在‘v.project’[MSBuild]文件中使用俄語，將其與使用DCRat的俄羅斯威脅行為者聯繫起來。

攻擊技術演變

PHALT#BLYX 活動追蹤

該活動的感染鏈在過去幾個月中顯示出顯著的演變。早期樣本使用HTML應用程序（.hta）文件及合法的“mshta.exe”工具來通過嵌入的URL部署遠端負載。這種方法雖然有效但容易被偵測。

轉向MSBuild技術

隨著時間的推移，攻擊者轉向使用基於MSBuild的策略，這是一種更具迴避性的技術，能夠避開防禦機制。

攻擊過程詳解

假冒的Booking.com通知

釣魚信息偽裝成Booking.com的預訂取消通知，引導用戶到一個顯示類似CAPTCHA錯誤的假冒頁面。攻擊者希望利用高額的房間費用引發受害者的緊迫感，促使其快速查看問題。

藍屏死機（BSOD）

當用戶點擊“刷新頁面”按鈕後，會彈出一個假冒的藍屏死機動畫，進一步增加緊迫感。受害者被告知可以通過在Windows運行對話框中粘貼惡意腳本來修復問題。該腳本執行PowerShell命令，下載v.proj，這是MSBuild項目文件，由MSBuild.exe組合並運行嵌入的惡意負載。