Microsoft предупреждает о новой кампании фишинга, выдавающей себя за Booking.com

Microsoft предупреждает о новой фишинговой кампании, имитирующей Booking.com, которая нацелена на предприятия в гостиничном бизнесе. Цель кампании – развернуть программы-воры данных и трояны.

Отели, курорты и другие предприятия в сфере гостеприимства становятся мишенью для изощренной фишинговой кампании ClickFix, имитирующей Booking.com. В новом отчете Microsoft Threat Intelligence говорится, что фишинговая кампания «быстро развивается» и нацелена на предприятия по всему миру. Цель кампании – украсть платежные и личные данные людей, что может привести к мошенничеству с переводами и нанесению ущерба репутации пострадавшим организациям.

Сначала злоумышленники создают уведомление электронной почты в стиле Booking.com, касающееся таких вещей, как отзывы гостей или проверки учетных записей. Предприятия, которые не распознают мошенничество, перенаправляются на поддельный каптча-пазл, и если они его решат, им выводится сообщение об ошибке. Это ложное сообщение об ошибке также сопровождается решением, которое включает в себя копирование команды и вставку/запуск ее в программе «Выполнить». Вместо исправления проблемы загрузка этой программы загружает один из нескольких штаммов вредоносных программ, используемых в этой кампании: XWorm, Lumma Stealer или VenomRAT. Это разные типы вредоносного ПО с разными функциями.

Пока VenomRAT, например, является удаленным трояном-прослушивателем, который предоставляет злоумышленникам неограниченный доступ к устройствам жертв, Lumma – это вор данных, который захватывает учетные данные входа и другие секреты, хранящиеся в веб-браузере и в других местах на устройстве. Microsoft приписывает кампанию группе по борьбе с угрозами, которую она отслеживает как Storm-1865, группу без предыдущих записей. Кампания, по-видимому, началась в декабре 2024 года, и нет информации о том, сколько компаний – если таковые есть – попались на ее удочку.

Мошенничество ClickFix стало более популярным в последнее время, и TechRadar Pro уже неоднократно сообщало об этом в этом году. Это эволюция старой мошеннической схемы «IT-техник», в которой жертве выводится всплывающее окно, имитирующее авторитетную компанию и утверждающее, что компьютер сломан/инфицирован.

Всплывающее окно содержит номер телефона, который жертва может набрать, чтобы поговорить с IT-специалистом и решить проблему. «Специалист» в конечном итоге устанавливает вредоносное ПО.

Хотя телефонные мошенничества все еще очень распространены, кампания ClickFix в основном сосредоточена на том, чтобы жертва выполняла большую часть работы, устанавливая вредоносное ПО через менее очевидный процесс (вставку команды в «Выполнить»).