Opnieuw is een malwarecampagne ontdekt waarbij malafide boekingswebsites die lijken op bijvoorbeeld Booking.com worden ingezet als lokmiddel om slachtoffers te misleiden. Slachtoffers worden verleid om kwaadaardige PowerShell-commando’s uit te voeren. De campagne maakt gebruik van DCRat, malware die volledige externe toegang mogelijk maakt en secundaire payloads kan installeren.

De infectie verloopt via verschillende stappen, meldt securitybedrijf Securonix. Slachtoffers ontvangen een phishingmail met een link naar een nep-Booking.com-pagina, vermomd als een reserveringsannulering. Op de frauduleuze website verschijnt een nep-CAPTCHA-foutmelding. Wie hierop klikt, krijgt een vals Blue Screen of Death (BSOD) te zien. Gebruikers worden vervolgens verleid een kwaadaardig script in het Uitvoeren-venster van Windows te plakken.

Het script downloadt een MSBuild-projectbestand (v.proj). MSBuild.exe compileert en voert de ingesloten payload uit. Om detectie te voorkomen schakelt de malware Windows Defender uit en installeert een .url-bestand in de Opstartmap voor blijvende toegang. De uiteindelijke payload is staxs.exe, dat verbinding legt met een command-and-control-server (C2) en een secundaire payload in aspnet_compiler.exe injecteert.

De malware kan zichzelf onder meer verstoppen in legitieme processen, toetsaanslagen vastleggen en aanvallers persistente toegang geven tot systemen. Ook kunnen aanvallers met DCRat aanvullende malware installeren op systemen van slachtoffers.

De campagne richt zich met name op Europese organisaties in de hospitalitysector. De phishingmails vermelden kamertarieven in euro’s. Het v.proj-bestand bevat Russischtalige code, wat volgens de onderzoekers wijst op banden met Russische dreigingsactoren die DCRat gebruiken.