【安全资讯】俄罗斯黑客利用‘蓝屏死机’恶意软件攻击欧洲酒店业

概要：

近期，欧洲酒店及旅游业正面临一场精心策划的网络攻击。疑似来自俄罗斯的黑客组织利用伪造的‘蓝屏死机’页面，通过钓鱼邮件传播恶意软件，旨在窃取敏感信息并长期控制受害设备。此次攻击不仅利用了行业旺季的心理，还结合了复杂的技术手段，标志着商品化恶意软件投递方式的显著升级。

主要内容：

研究人员发现，这场名为PHALT#BLYX的攻击活动始于一封主题为“预订取消”的钓鱼邮件。邮件伪造了知名预订网站的页面，并显示高额欧元费用以制造紧迫感。受害者点击“查看详情”后，会进入一个伪造的酒店预订页面，并出现“加载时间过长”的虚假浏览器错误提示。

点击“刷新页面”按钮后，受害者会看到一个伪造的“蓝屏死机”动画。为了“修复”此问题，系统会诱导用户将一段恶意脚本粘贴到Windows运行对话框中。该脚本会触发一系列事件，最终下载名为DCRat的远程访问木马。DCRat功能强大，可以记录键盘输入、窃取密码和剪贴板数据。

攻击的核心技术在于利用了“ClickFix”技巧，即通过虚假错误信息诱导用户自行执行恶意命令。攻击者还滥用受信任的系统二进制文件（如MSBuild.exe）来执行恶意代码，从而在传统防御系统反应之前就在受害者系统中建立立足点。技术遥测和MS Build项目文件中包含的俄语调试字符串等证据均指向了俄罗斯黑客。

Securonix警告称，此次攻击代表了商品化恶意软件投递方式的复杂演变。攻击结合了心理操纵和技术规避手段，意图实现长期驻留。该活动主要针对秋季业务繁忙的欧洲酒店业，对行业数据安全和客户隐私构成了严重威胁。