欧州ホテル業界を狙うPHALTBLYXマルウェア攻撃を確認

欧州ホテル業界を狙う新たなマルウェアキャンペーン

欧州のホテルおよびホスピタリティ業界を標的とした、新たなマルウェアキャンペーンが確認された。
**Securonixの調査によると、ロシア系の攻撃者とみられるグループが、Booking.com**を装った偽の予約キャンセル通知を送信し、被害者に接触しているという。
この攻撃キャンペーンは「PHALT#BLYX」と名付けられており、被害者は「ブルースクリーン・オブ・デス（BSOD）」を模した偽の画面を表示され、マルウェアのダウンロードへと誘導されていたとされる。

フィッシングメールと心理的操作の手口

攻撃者は、欧州のホテルやホステルを標的にフィッシングメールを送信しており、メールにはユーロ建ての宿泊料金の詳細が記載され、受信者に緊迫感を与える内容となっている。
件名は「Reservation Cancellation」とされ、主に1,000ユーロを超える金額が提示されるケースが多いという。
メール内の「See Details」ボタンをクリックすると、偽のホテル予約ページに誘導され、続いて「Loading is taking too long」とするエラーメッセージが表示される。
その後、「Refresh page」を促され、操作に応じると、偽の「ブルースクリーン・オブ・デス（BSOD）」画面へ遷移する仕組みとされている。

マルウェアのダウンロードとシステム侵入の流れ

偽のエラーページでは、ユーザーに対し、Windowsの「実行」ダイアログへ特定のスクリプトを貼り付けるよう指示が表示される。
このスクリプトはPowerShellコマンドを実行し、MSBuildのプロジェクトファイルである「v.proj」をダウンロードした上で、MSBuild.exeを介して内部に埋め込まれたペイロードを実行する仕組みとされている。
実行の過程でWindows Defenderが無効化され、攻撃者はシステムへの持続的なアクセスを確保する。
最終的に展開されるDCRatマルウェアは、キーログ取得やコマンド実行、追加マルウェアの配布などを通じて、感染システムを遠隔から制御可能にするという。

ロシアとの関連性と持続的な脅威

**Securonix**の研究者は、MSBuildのプロジェクトファイル内で確認されたロシア語のデバッグ文字列やコマンドを根拠に、本攻撃がロシアとの関連を持つ可能性を指摘している。
また、DCRatはロシアの地下フォーラムで広く流通していることが知られており、攻撃に用いられたインフラやツールの一部がロシアに所在している点も確認されたという。
今回の攻撃は、既存の「ClickFix」手法を発展させ、心理的操作と信頼性の高い正規システムバイナリの悪用を組み合わせることで、より巧妙化している。攻撃者は被害環境へ深く侵入し、長期的な持続性を確保しようとする意図を示しているとみられる。

このキャンペーンは、既存のホテルアカウントを侵害して直接メッセージを送信したり、フィッシングメールにマルウェアリンクを直接含めたりする従来の手法を超え、心理的操作と技術的複雑性を融合させた戦術へと進化している。
専門家は、組織に対し、シグネチャやファイルベースの検知に依存するだけでなく、振る舞いの異常検知やプロセスの連鎖監視を通じて、こうした多段階攻撃の早期特定と阻止を図る必要があると指摘している。