Microsoft avertit qu’une campagne de phishing en cours usurpant l’identité Booking.com utilise des attaques d’ingénierie sociale ClickFix pour infecter les travailleurs de l’hôtellerie avec divers logiciels malveillants, notamment des infostealers et des rats.
La campagne a débuté en décembre 2024 et se poursuit aujourd’hui, ciblant les employés des organisations hôtelières telles que les hôtels, les agences de voyages et d’autres entreprises qui utilisent Booking.com pour les réservations.
L’objectif des acteurs de la menace est de détourner les comptes des employés sur le Booking.com plate-forme, puis voler les détails de paiement et les informations personnelles des clients, les utilisant potentiellement pour lancer de nouvelles attaques contre les invités.
Les chercheurs en sécurité de Microsoft qui ont découvert cette campagne attribuent l’activité à un groupe de menaces qu’elle suit sous le nom de « Storm-1865 ».’
ClickFix rencontre Booking.com
ClickFix est une attaque d’ingénierie sociale relativement nouvelle qui affiche de fausses erreurs sur des sites Web ou dans des documents de phishing, puis invite les utilisateurs à effectuer un » correctif « » captcha » pour afficher le contenu.
Cependant, ces faux correctifs sont en fait des PowerShell malveillants ou d’autres commandes malveillantes qui téléchargent et installent des logiciels malveillants infostealing et des chevaux de Troie d’accès à distance sur des appareils Windows et Mac.
Ce type d’attaque est devenu de plus en plus populaire et est utilisé par une grande variété d’acteurs de la menace, y compris les gangs de ransomwares et les pirates nord-coréens.
Dans la campagne de phishing découverte par Microsoft, les acteurs de la menace envoient des courriels se faisant passer pour des invités se renseignant sur un point négatif Booking.com examen, demandes de clients potentiels, alertes de vérification de compte, etc.
Ces e-mails contiennent soit une pièce jointe PDF contenant un lien, soit un bouton intégré, les deux amenant la victime vers une fausse page CAPTCHA.
Un faux CAPTCHA dans les campagnes ClickFix est devenu populaire car il ajoute un faux sentiment de légitimité au processus, dans l’espoir d’inciter les destinataires à baisser leur garde.
Lors de la résolution du CAPTCHA malveillant, un mshta caché.la commande exe sera copiée dans le presse-papiers de Windows pour effectuer le processus de « vérification humaine ». La cible est invitée à effectuer cette vérification en ouvrant la commande Exécuter Windows, en collant le contenu du presse-papiers dans le champ Exécuter et en l’exécutant.
Les victimes ne voient que les raccourcis clavier, pas le contenu copié dans le presse-papiers, elles n’ont donc aucune indication qu’elles sont sur le point d’exécuter une commande sur leur système. Par conséquent, ceux qui ont moins d’expérience avec les ordinateurs risquent de tomber dans le piège.
Dans cette campagne, Microsoft dit que le code copié est un mshta.exe qui exécute un fichier HTML malveillant [VirusTotal] sur le serveur de l’attaquant.
L’exécution de la commande télécharge et installe une grande variété de chevaux de Troie d’accès à distance et de logiciels malveillants de vol d’informations, notamment XWorm, Lumma stealer, VenomRAT, AsyncRAT, Danabot et NetSupport RAT.
« En fonction de la charge utile spécifique, le code spécifique lancé via mshta.exe varie », explique le rapport de Microsoft.
« Certains échantillons ont téléchargé du contenu PowerShell, JavaScript et exécutable portable (PE). »
« Toutes ces charges utiles incluent des capacités de vol de données financières et d’informations d’identification à des fins frauduleuses, ce qui est une caractéristique de l’activité de Storm-1865. »
Pour se défendre contre ces attaques, Microsoft recommande de toujours confirmer la légitimité de l’adresse de l’expéditeur, d’être très prudent face aux appels urgents à l’action et de rechercher les fautes de frappe qui pourraient révéler les escrocs.
Il est également conseillé de vérifier la Booking.com statut du compte et alertes en attente en vous connectant indépendamment à la plateforme au lieu de suivre les liens des e-mails.