Киберпреступники выдают себя за Booking.com в новой фишинговой атаке

Microsoft обнаружил продолжающуюся фишинговую кампанию, нацеленную на персонал отелей и хостелов, которую осуществляют под видом туристического агентства Booking.com.

Безопасностная команда Microsoft обнаружила эту кампанию в декабре 2024 года, накануне активного сезона праздничных путешествий. Мошенничество все еще активно и по состоянию на февраль 2025 года затрагивает организации по всей Северной Америке, Европе, Океании и в некоторых регионах Азии.

Атакующие отправляют фальшивые письма, которые, казалось бы, приходят от Booking.com и содержат ссылки на отрицательные отзывы гостей, срочные запросы на бронирование или необходимость верификации аккаунта. В этих письмах содержатся ссылки, ведущие на обманный веб-сайт, созданный так, чтобы походить на Booking.com.

На этом фальшивом сайте жертвам предлагается пройти верификацию CAPTCHA, но вместо настоящей проверки безопасности они получают инструкцию открыть специальное окно команд на своем компьютере и вставить предоставленный код. Это действие загружает и запускает вредоносное ПО, которое может украсть конфиденциальную информацию.

В этой атаке было использовано вредоносное ПО, включая несколько хорошо известных хакерских инструментов, таких как XWorm, VenomRAT и AsyncRAT.

Эти программы позволяют киберпреступникам контролировать зараженные устройства, перехватывать пароли и совершать финансовые мошенничества. Microsoft связывает эту активность с хакерской группой, которую она называет Storm-1865 и которая ранее атаковала платформы электронной коммерции и гостей отелей, используя аналогичные тактики.

Добавление этого нового метода, известного как «ClickFix«, показывает, как атакующие эволюционируют, чтобы обойти защитные меры безопасности. Заставляя жертву предпринимать конкретные действия, такие как копирование и вставка кода, они могут избежать автоматического обнаружения почтовыми фильтрами и антивирусным программным обеспечением.

Пресс-секретарь Booking.com уточнил, что атака не связана с нарушением безопасности на их платформе.

«Несмотря на то, что мы можем подтвердить, что системы Booking.com не были взломаны, мы знаем, что, к сожалению, некоторые из наших партнеров по размещению и клиенты столкнулись с фишинговыми атаками, осуществленными профессиональными преступниками с целью захвата их локальных компьютерных систем с помощью вредоносного ПО», — сказали они, как сообщает The Record.

Microsoft рекомендует компаниям внедрять многокомпонентную аутентификацию, использовать инструменты фильтрации электронной почты для сканирования попыток фишинга и обучать персонал распознаванию подозрительных писем. Учитывая, что киберпреступники постоянно совершенствуют свои тактики, осторожность в отношении фишинговых атак становится жизненно важной, особенно в отраслях, работающих с конфиденциальными данными клиентов.