Cibercriminosos utilizam tela azul da morte falsa do Windows para espalhar malware

Pesquisadores identificaram uma campanha maliciosa denominada PHALT#BLYX que faz uso de telas azuis da morte falsas do Windows para disseminar malware.

O ataque tem início com um e-mail fraudulento que se passa pelo Booking.com, informando sobre cancelamento de reserva e uma cobrança elevada em euros para gerar senso de urgência e medo. Ao clicar no link para “ver detalhes”, a vítima é direcionada a um site que imita a página oficial do serviço, mas que é falso. Nesse ambiente, ocorre primeiro um erro de carregamento e, em seguida, é exibida uma falsa tela azul da morte do Windows, cujo objetivo é alarmar o usuário e induzi-lo a seguir instruções para supostamente corrigir o problema.

Essas instruções orientam a abertura do comando Executar do Windows e a inserção automática de um código malicioso que aciona um comando PowerShell responsável por baixar outro arquivo. Em seguida, o ataque utiliza ferramentas legítimas do próprio Windows, como o MSBuild, para executar o malware e tentar contornar soluções de antivírus.

Após a infecção, o malware desativa o Windows Defender, cria mecanismos para se manter ativo mesmo após reinicializações e instala o DCRat, um trojan de acesso remoto que permite ao invasor controlar o computador à distância, registrar teclas digitadas, injetar outros malwares e roubar informações.