Atenționare - Campanie de phishing care impersonează Booking.com

Începând din decembrie 2024, Microsoft a observat existența unei campanii de phishing prin care o pretinsă agenție de turism online numită tot Booking.com utilizează tehnica de inginerie socială ClickFix și instalează malware de tip commodity pe sistemul țintă, în scopul comiterii de fraude financiare.

Campania este încă în desfășurare.

Tot în decembrie 2024, înainte de unele dintre cele mai aglomerate zile de călătorie, Microsoft Threat Intelligence a identificat o campanie de phishing care se dă drept agenția de turism online Booking.com și vizează organizațiile din industria ospitalității.

Campania utilizează o tehnică de inginerie socială numită ClickFix pentru a livra mai multe tipuri de malware de furt de credențiale în scopul comiterii de fraude financiare și furturi. Începând din februarie 2025, această campanie este în desfășurare.

CITEȘTE ȘI Co-fondatorul site-ului pirat „The Pirate Bay” a murit într-un accident de avion

Această campanie de phishing vizează în mod specific persoanele din organizațiile de ospitalitate din America de Nord, Oceania, Asia de Sud și Sud-Est, precum și din Europa de Nord, Sud, Est și Vest, care au cele mai mari șanse să colaboreze cu Booking.com, primind emailuri false în numele agenției.

În tehnica ClickFix, un atacator încearcă să profite de tendințele umane de rezolvare a problemelor afișând mesaje false de eroare sau prompturi care instruiesc utilizatorii vizați să rezolve probleme copiind, lipind și lansând comenzi care, în cele din urmă, duc la descărcarea de malware.

CITEȘTE ȘI Atac cibernetic la Orange România - DNSC anunță: Câte date personale ale clienților și angajaților au fost furate și ce trebuie făcut acum

Această nevoie de interacțiune cu utilizatorul ar putea permite unor atacuri să treacă de caracteristicile de securitate convenționale și automate. În cazul acestei campanii de phishing, utilizatorul este instruit să folosească o comandă rapidă de la tastatură pentru a deschide fereastra Run din Windows, apoi să copieze și să lanseze o comandă pe care pagina de phishing o adaugă în clipboard.

Microsoft urmărește această campanie printr-o tehnologie numită Storm-1865, care însumează un grup de activități care cercetează campaniile de phishing menite să fure datele de plată și să realizeze tranzacții frauduloase.