Microsoft, kitabın taklit eden devam eden bir kimlik avı kampanyası, misafirperverlik çalışanlarını infostalers ve fareler de dahil olmak üzere çeşitli kötü amaçlı yazılımlarla enfekte etmek için ClickFix sosyal mühendislik saldırılarını kullandığını uyarıyor.
Kampanya Aralık 2024'te başladı ve bugün devam ediyor ve oteller, seyahat acenteleri ve rezervasyon için Booking.com'u kullanan diğer işletmeler gibi misafirperverlik kuruluşlarındaki çalışanları hedef alıyor.
Tehdit aktörlerinin amacı, Booking.com platformunda çalışan hesaplarını ele geçirmek ve daha sonra müşteri ödeme ayrıntılarını ve kişisel bilgileri çalmak, potansiyel olarak konuklara daha fazla saldırı başlatmak için kullanmaktır.
Bu kampanyayı keşfeden Microsoft güvenlik araştırmacıları, etkinliği 'Storm-1865' olarak izlediği bir tehdit grubuna bağlarlar.
ClickFix, web sitelerinde veya kimlik avı belgelerinde sahte hatalar gösteren ve daha sonra kullanıcıları içeriği görüntülemek için bir "düzeltme" "captcha" gerçekleştirmesini isteyen nispeten yeni bir sosyal mühendislik saldırısıdır.
Bununla birlikte, bu sahte düzeltmeler aslında kötü amaçlı Powershell veya Windows ve Mac cihazlarına Infosting kötü amaçlı yazılım ve uzaktan erişim trojanlarını indirip yükleyen diğer kötü amaçlı komutlardır.
Bu tür bir saldırı giderek daha popüler hale geldi ve fidye yazılımı çeteleri ve Kuzey Koreli bilgisayar korsanları da dahil olmak üzere çok çeşitli tehdit aktörleri tarafından kullanılmaktadır.
Microsoft tarafından keşfedilen kimlik avı kampanyasında, tehdit aktörleri negatif bir kitap incelemesi, potansiyel müşterilerden gelen istekler, hesap doğrulama uyarıları ve diğerleri hakkında bilgi veren konuklar gibi taklit eden e -postalar gönderiyor.
Bu e -postalar, her ikisi de kurbanı sahte bir Captcha sayfasına götüren bir bağlantı veya gömülü bir düğme içeren bir PDF eki içerir.
ClickFix kampanyalarında sahte bir captcha, alıcıları korumalarını düşürmeyi umarak sürece yanlış bir meşruiyet duygusu eklediği için popüler hale geldi.
Kötü niyetli captcha'yı çözerken, "insan doğrulama" işlemini gerçekleştirmek için Windows panosuna gizli bir Mshta.exe komutu kopyalanır. Hedefin bu doğrulamayı Windows Run komutunu açarak, pano içeriğini çalışma alanına yapıştırarak ve yürüterek gerçekleştirmesi söylenir.
Mağdurlar sadece klavye kısayollarını görür, panoya kopyalanan içerik değil, bu nedenle sistemlerinde bir komut yürütmek üzere olduklarını göstermeleri yoktur. Bu nedenle, bilgisayarlarla daha az deneyime sahip olanların tuzağa düşmesi muhtemeldir.
Bu kampanyada Microsoft, kopyalanan kodun saldırganın sunucusunda kötü amaçlı bir HTML dosyası [Virustotal] yürüten bir MSHTA.EXE olduğunu söylüyor.
Komutun yürütülmesi, Xworm, Lumma Stealer, Venomrat, Asyncrat, Danabot ve Netsupport Rat dahil olmak üzere çok çeşitli uzaktan erişim Truva atları ve Infosting kötü amaçlı yazılımları yükler.
Microsoft'un raporu, "Belirli yük yüküne bağlı olarak, MSHTA.EXE aracılığıyla başlatılan belirli kod değişiyor."
"Bazı örnekler PowerShell, JavaScript ve Taşınabilir Yürütülebilir (PE) içeriğini indirdi."
"Tüm bu yükler, Storm-1865 etkinliğinin ayırt edici özelliği olan hileli kullanım için finansal verileri ve kimlik bilgilerini çalma yeteneklerini içerir."
Bu saldırılara karşı savunmak için Microsoft, her zaman gönderenin adresinin meşruiyetini onaylamayı, acil harekete geçme çağrıları ile karşılaştığında çok dikkatli olmayı ve dolandırıcıları verebilecek yazım hataları aramasını önerir.
Ayrıca, e -postalardan gelen bağlantıları takip etmek yerine, platformda bağımsız olarak oturum açarak Booking.com Hesap Durumunun ve bekleyen uyarıların doğrulanması da tavsiye edilir.
GÜNCELLEME 3/14 - Bir Booking.com sözcüsü, Microsoft tarafından görülen ClickFix kampanyasıyla ilgili olarak aşağıdaki yorumu BleepingComputer'ı gönderdi.
Ne yazık ki, suç örgütlerinin kimlik avı saldırıları birçok endüstri için önemli bir tehdit oluşturmaktadır. Booking.com’un sistemlerinin ihlal edilmediğini doğrulayabiliriz, ancak ne yazık ki bazı konaklama ortaklarımız ve müşterilerimizin profesyonel suçlular tarafından gönderilen kimlik avı saldırılarından etkilendiğinin, yerel bilgisayar sistemlerini kötü amaçlı yazılımlarla devralma niyetiyle etkilendiğinin farkındayız.
Bu aldatmacadan etkilenen gerçek konaklama sayıları, platformumuzdaki kişilerin küçük bir kısmıdır ve müşterilerimiz ve ortaklarımız üzerindeki etkiyi sınırlamak için önemli yatırımlar yapmaya devam ediyoruz.
Ayrıca, konaklama ortaklarımızın ve müşterilerimizin korumalı kalmalarına proaktif bir şekilde yardımcı olmaya kararlıyız. Ayrıca, bu tür tehditlere karşı savunmalarını geliştirmek için ortaklarımıza devam eden siber güvenlik eğitimi ve kaynakları sağlıyoruz.
Bir müşterinin bir ödeme mesajı konusunda herhangi bir endişesi varsa, mesajın meşru olduğundan emin olmak için rezervasyon onayları hakkındaki ödeme politikası ayrıntılarını dikkatlice kontrol etmelerini istiyoruz. Müşteriler ayrıca 7/24 müşteri hizmetleri ekibimize şüpheli mesajları bildirmeye veya sohbet işlevine dahil olan 'Bir Sorunu Bildir' tıklatarak teşvik edilir.
Bir müşteriden asla e -posta, sohbet mesajları, kısa mesajlar veya telefon yoluyla ödeme bilgilerini paylaşmasını istemeyeceğimizi belirtmek önemlidir.
Müşterilerimizi ve ortaklarımızı uyanık kalmaya çağırıyoruz. Şüpheli görünen veya gayri resmi kanallar aracılığıyla hassas bilgiler talep eden herhangi bir iletişim ile karşılaşırsanız, lütfen ilgilenmeyin. Resmi Booking.com kanalları aracılığıyla derhal müşteri hizmetleri ekibimize bildirin. Güven ve Güvenlik Kaynak Merkezimiz, kimlik avı girişimlerini tanımak ve bunlardan kaçınma konusunda ek rehberlik sunmaktadır.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93'ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.
DPRK Hackers Dupe, yönetici olarak PowerShell komutlarını yazmayı hedefliyor
Kötü niyetli Adobe, Docusign OAuth uygulamaları Microsoft 365 Hesaplarını Hedef
Microsoft, kötü niyetli kampanyanın 1 milyon PC'yi etkilediğini söylüyor
Yeni ClickFix Saldırısı, Microsoft SharePoint üzerinden Havoc C2'yi dağıtıyor
Gitvenom saldırıları, kripto çalmak için yüzlerce Github deposunu kötüye kullanıyor
Kaynak: Bleeping Computer