В четвъртък Microsoft предупреди, че група за киберпрестъпления се е насочила към организации в сектора на хотелиерството чрез атаки, включващи фалшиви имейли от Booking.com и използване на техника за социално инженерство, наречена ClickFix.

Действащото лице, което стои зад тези атаки, е проследено от Microsoft като Storm-1865. Той е бил забелязан да атакува организации от сектора на хотелиерството в Северна Америка, Европа, Океания и Южна и Югоизточна Азия в кампания, която продължава.

Целта на хакерите е да доставят зловреден софтуер за кражба на информация, който им позволява да извършват финансови измами и кражби.

Атаката започва с фалшив имейл, за който се твърди, че идва от Booking.com. Тези съобщения информират получателя – хора и организации в сектора на хотелиерството – за отрицателни отзиви на гости, проверка на акаунта, възможности за онлайн промоции и запитвания от потенциални гости.

Имейлите съдържат връзки или PDF прикачени файлове, съдържащи връзки, които сочат към фалшиви уебсайтове на Booking.com, в които се използва методът на социалното инженерство ClickFix, за да подмами потребителя да изтегли зловреден софтуер.

При техниката ClickFix уебсайтът на нападателя показва грешка или процес на проверка, на който потребителят трябва да отговори. Потребителят е инструктиран да копира нещо, което не е показано на екрана, след което да го постави в терминал на Windows и да го изпълни.

При атаките Storm-1865, наблюдавани от Microsoft, на жертвата се казва да демонстрира, че е човек, като постави отметка в квадратче и натисне определени клавиши на клавиатурата си: клавишите Windows и R, клавишите CTRL и V и след това Enter.

Ако потребителят се подчини и постави отметка в квадратчето, той всъщност копира команда в клипборда си. Натискането на клавишните комбинации отваря командния прозорец Windows Run, вмъква злонамерената команда и я изпълнява.

Зловредната команда инструктира компютъра на жертвата да изтегли и изпълни зловреден софтуер, като XWorm, Lumma, VenomRAT, AsyncRAT, Danabot и NetSupport RA.

„Всички тези полезни товари включват възможности за кражба на финансови данни и пълномощни за измамна употреба, което е отличителна черта на дейността на Storm-1865“, казват от Microsoft.

Според технологичния гигант Storm-1865 е активен от 2023 г., като провежда фишинг кампании срещу гости на хотели и потребители на платформи за електронна търговия.

„Добавянето на ClickFix към тактиките, техниките и процедурите (TTPs) на този колектив показва как Storm-1865 развива своите вериги за атаки, за да се опита да се изплъзне през конвенционалните мерки за сигурност срещу фишинг и злонамерен софтуер“, заявиха от Microsoft.

 Booking.com направи следното изявление към медиите за киберсигурност:

„За съжаление фишинг атаките на престъпни организации представляват значителна заплаха за много индустрии. Въпреки че можем да потвърдим, че системите на Booking.com не са били пробити, сме наясно, че за съжаление някои от нашите партньори и клиенти в областта на настаняването са били засегнати от фишинг атаки, изпратени от професионални престъпници, с престъпното намерение да превземат техните локални компютърни системи със зловреден софтуер.

Действителният брой на засегнатите от тази измама места за настаняване е малка част от тези в нашата платформа и ние продължаваме да правим значителни инвестиции, за да ограничим въздействието върху нашите клиенти и партньори.

Също така се ангажираме активно да помагаме на нашите партньори и клиенти в областта на настаняването да останат защитени. Освен това предоставяме непрекъснато обучение по киберсигурност и ресурси на нашите партньори, за да засилят защитата си срещу подобни заплахи.“