Social Engineering: CERT-aDvens-January-2026-CTI-Report.
Eine kürzlich identifizierte Kampagne mit dem Namen PHALT#BLYX, die Ende 2025 entdeckt wurde, zielt gezielt auf das europäische Gastgewerbe ab und nutzt dafür eine besonders ausgeklügelte, mehrstufige Infektionskette. Diese Operation setzt auf fortgeschrittene Social-Engineering-Techniken vom Typ ClickFix, kombiniert mit visuellen Ködern wie gefälschten CAPTCHAs und gefälschten Seiten, die einen kritischen Windows-Systemausfall (BSOD – Blue Screen of Death) simulieren. Ziel ist es, Nutzer zur freiwilligen Ausführung schädlicher Befehle zu verleiten.
Der Angriff ist bemerkenswert, da er MSBuild.exe, ein legitimes, systemeigenes Build-Tool des Windows-Ökosystems, missbraucht. Dieses Tool wird hier eingesetzt, um herkömmliche Schutzmechanismen zu umgehen und eine äußerst unauffällige Schadsoftware einzuschleusen. Die Infektionskette beginnt mit einer Phishing-Kampagne, die ein gefälschtes Stornierungsszenario ausnutzt, das angeblich von der Website booking.com stammt. Dieser Köder soll die Opfer dazu verleiten, schädliche PowerShell-Befehle auszuführen. Dadurch wird der Download und die Ausführung von Schadcode in mehreren Schritten ermöglicht, die PowerShell-Skripte, MSBuild-Projektdateien und legitime Systemkomponenten umfassen.
Die Infektionskette führt letztendlich zur Installation von DCRat (DarkCrystal RAT), einem aus Russland stammenden Remote-Access-Trojaner, der Angreifern die vollständige Kontrolle über das kompromittierte System ermöglicht. Diese Schadsoftware erlaubt das Protokollieren von Tastatureingaben, Bildschirmaufnahmen, die Ausführung von Befehlen aus der Ferne und die laterale Ausbreitung im Netzwerk, um weitere Systeme zu kompromittieren.
Das Whitepaper (in Englisch) gibt einen ausführlichen Überblick über die aktuelle Bedrohungslage, Social Engineering und viele Sicherheitshinweise.
aDvens
