อีเมลปลอม Booking.com หลอกพนักงานโรงแรมไปยังหน้าจอ BSoD ปลอมเพื่อติดตั้ง DCRat

แคมเปญใหม่ชื่อ PHALT#BLYX ได้พุ่งเป้าไปที่โรงแรมในยุโรป โดยใช้อีเมลฟิชชิ่งปลอมแปลงเป็น Booking.com พร้อมกับหน้าจอ Blue Screen of Death (BSoD) ปลอม เพื่อหลอกให้เหยื่อรันคำสั่ง PowerShell ที่ดาวน์โหลดและติดตั้งมัลแวร์ DCRat (Remote Access Trojan) ซึ่งใช้เทคนิค Living-off-the-Land (LotL) เช่น MSBuild เพื่อหลีกเลี่ยงการตรวจจับและคงอยู่บนระบบ

Severity: สูง

System Impact:

• ภาคธุรกิจโรงแรมในยุโรป
• ระบบปฏิบัติการ Windows
• Microsoft Defender Antivirus

Technical Attack Steps:

1. อีเมลฟิชชิ่งปลอมแปลงเป็น Booking.com แจ้งการยกเลิกการจองโดยไม่คาดคิด พร้อมลิงก์ไปยังเว็บไซต์อันตราย (เช่น “low-house[.]com”)
2. เหยื่อถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ปลอมของ Booking.com ซึ่งแสดงหน้า CAPTCHA ปลอม
3. จากนั้นเหยื่อจะเห็นหน้าจอ BSoD ปลอมพร้อมคำแนะนำให้เปิดกล่องโต้ตอบ Run ของ Windows และวางคำสั่ง จากนั้นกด Enter
4. การรันคำสั่งดังกล่าวเป็นการเรียกใช้ PowerShell dropper
5. PowerShell จะดาวน์โหลดไฟล์โปรเจกต์ MSBuild (“v.proj”) จากเซิร์ฟเวอร์ควบคุม “2fa-bns[.]com”
6. ไฟล์ “v.proj” จะถูกดำเนินการโดยใช้ “MSBuild.exe”
7. เพย์โหลดที่ฝังอยู่ใน “v.proj” จะดำเนินการดังนี้: กำหนดค่าข้อยกเว้นสำหรับ Microsoft Defender Antivirus, สร้างกลไกคงอยู่บนระบบ (Persistence) ในโฟลเดอร์ Startup, และดาวน์โหลด DCRat จาก “2fa-bns[.]com” เพื่อเปิดใช้งาน
8. หากไม่ได้รับสิทธิ์ผู้ดูแลระบบในครั้งแรก มัลแวร์จะกระตุ้นหน้าต่าง User Account Control (UAC) ซ้ำๆ เพื่อหลอกให้เหยื่ออนุมัติ
9. ในขณะเดียวกัน หน้าผู้ดูแลระบบจริงของ Booking.com จะถูกเปิดในเบราว์เซอร์เพื่อเบี่ยงเบนความสนใจของเหยื่อ

Recommendations:

Short Term:

• ให้ความรู้แก่พนักงานในการระบุอีเมลฟิชชิ่ง โดยเฉพาะอย่างยิ่งที่ปลอมแปลงเป็นแพลตฟอร์มการจองต่างๆ
• เตือนให้ระมัดระวังหน้าจอ BSoD ที่ไม่คาดคิด และคำแนะนำการกู้คืนที่ผิดปกติ
• ตรวจสอบความถูกต้องของลิงก์และไฟล์แนบทั้งหมดก่อนคลิกหรือเปิด
• ใช้ระบบกรองอีเมลและโซลูชันป้องกันฟิชชิ่งที่มีประสิทธิภาพ
• ตรวจสอบกิจกรรมที่ผิดปกติของ PowerShell หรือ MSBuild บนอุปกรณ์ปลายทาง
• ตรวจสอบและบังคับใช้นโยบายการยกเว้น Microsoft Defender Antivirus อย่างเข้มงวด

Long Term:

• จัดการฝึกอบรมการรับรู้ด้านความปลอดภัยเป็นประจำสำหรับพนักงานทุกคน โดยเน้นเทคนิควิศวกรรมสังคม (Social Engineering)
• ติดตั้งโซลูชัน Endpoint Detection and Response (EDR) ขั้นสูงเพื่อตรวจจับและป้องกันการโจมตีแบบ Living-off-the-Land (LotL)
• ใช้การทำ Whitelisting แอปพลิเคชันเพื่อป้องกันไม่ให้มีการเรียกใช้งานโปรแกรมที่ไม่ได้รับอนุญาต เช่น โปรเจกต์ MSBuild ที่เป็นอันตราย
• บังคับใช้หลักการให้สิทธิ์ขั้นต่ำ (Least Privilege) สำหรับบัญชีผู้ใช้ทั้งหมด
• อัปเดตแพตช์ความปลอดภัยและกำหนดค่าระบบทั้งหมดให้เป็นปัจจุบันอยู่เสมอ
• กำหนดขั้นตอนการรับมือเหตุการณ์ที่ชัดเจนสำหรับการติดมัลแวร์และการพยายามฟิชชิ่ง
• ใช้การยืนยันตัวตนที่แข็งแกร่ง (Strong Authentication) สำหรับระบบที่สำคัญ

Source: https://thehackernews.com/2026/01/fake-booking-emails-redirect-hotel.html