Sahte Booking.com e -postaları otel personelini sahte captcha aracılığıyla asycrat kötü amaçlı yazılım çalıştırmaya, uzaktan erişim truva sistemlerini hedefleme.
Yeni bir kimlik avı kampanyası, sahte Booking.com e -postaları ile otel personelini hedefliyor ve kurbanları kendi sistemlerinde kötü niyetli komutlar yürütmeye kandırıyor. Sosyal mühendisliği, otel ağlarını Asyncrat ile enfekte etmek ve tehlikeye atmak amacıyla birleştirerek iyi planlanmış görünmektedir.
İkna edici bir e -posta ile başlar
Saldırı, Booking.com’dan geliyor gibi görünen bir mesajla başlar. E -posta, bir konuğun önemli kişisel eşyaları geride bıraktığını iddia ediyor ve otel yöneticisini “Konuk Bilgilerini Görüntüle” etiketli bir düğmeyi tıklamaya çağırıyor.
E -posta kibar, acil ve meşru görünmek için tasarlanmış, insanları düşünmeden tıklamaya kandırmak için tasarlanmış sosyal mühendislik girişimlerine özgüdür.
Sahte bir captcha gerçek tehdidi gizler
Bağlantıya tıklamak, kullanıcıyı şu adreste barındırılan bir görünümlü Booking.com sitesine götürür: booking.partlet-id739847.com. Sayfa başlangıçta ziyaretçiden bir robot olmadığını onaylamasını isteyen bir captcha sunuyor.
Kutuyu kontrol ettikten sonra, kullanıcılara çok daha şüpheli bir şey sunulur – onlara basmalarını söyleyen bir dizi talimat Win + R (Windows Run diyaloğunu açmak için), ardından Ctrl + V Ve Girmek. Bu hile, gizli bir komut sunmak ve yürütmek için panoyu kullanır.
Perde Arkası: Asyncrat
Bu aldatmacada sunulan kötü amaçlı yazılımların güvenlik analizi, uzak erişim Truva atı olan Asyncrat’ı gösterir. Bu kötü amaçlı yazılım, 2019’un ikinci yarısından beri aktiftir ve açık kaynaklı ve son derece özelleştirilebilir özellikleri nedeniyle siber suçlular arasında popülerlik kazanmıştır.
Asyncrat aşağıdakileri yapabilir:
- Tuş vuruşu günlüğü
- Uzak Masaüstü Görüntüleme
- Dosya erişimi ve veri hırsızlığı
- Ek yükler yükleme
- Enfekte sistemler üzerinde kalıcı kontrol
Asyncrat son birkaç yıldır siber saldırılarda aktif olarak kullanılmıştır. Mayıs 2021’de Microsoft, havacılık ve seyahat organizasyonlarını hedefleyen Asyncrat’ı gözlemledi. Kasım 2021’e kadar güvenlik araştırmacıları, sistemleri enfekte etmek ve kripto para birimlerini çalmak için diğer kötü amaçlı yazılım aileleriyle birlikte teslim edildiğini buldular.
Haziran 2023’te, siber güvenlik firması Esentire, DCRAT adlı yeni bir varyant bildirdi, bu da sadecefansla ilgili içeriğe gömülü Asyncrat’ın yeniden markalı bir versiyonu. Daha sonra Ocak 2024’te, kötü amaçlı yazılım, ABD’de kritik altyapıyı hedefleyen tespit edildi, bu kez yükü teslim etmek için kötü amaçlı GIF ve SVG dosyaları kullandı.
Kötü amaçlı yazılım üzerinden çalışır MSBuild.exebazı antivirüs araçlarından kaçmasına yardımcı olan meşru bir Windows yardımcı programı. Kendini kurar %AppData% dizin ve bir komut ve kontrol sunucusu ile iletişim kurar 185.39.17.70 liman üzerinde 8848.
Bu kimlik avı dolandırıcılığı neden zor
Şifreleri çalmayı amaçlayan temel kimlik avı kampanyalarının aksine, bu çok daha ileri gidiyor. Kullanıcıyı, güvenlik kısıtlamalarını atlamanın ve indirmeleri tetiklemekten kaçınmanın akıllıca yazılımlarını manuel olarak yürütmeye yönlendirir.
Başarılı olursa, saldırganlar otel sistemlerine tam uzaktan erişim sağlayabilir, müşteri verilerini, rezervasyon bilgilerini ve ödeme kayıtlarını riske atabilir.
Oteller ve personel için ipuçları
- Resmi görünseler bile, istenmeyen e -postalardaki bağlantıları asla tıklamayın.
- E -postalardan veya web sitelerindeki talimatlara göre komutlar çalıştırmayın, özellikle Windows Run diyaloğunu içeren her şey.
- Alan adını kontrol edin, gerçek kitaplık.com bağlantıları gibi ekstra alt alanlar içermez
partlet-id739847.
- Şüpheli mesajları resmi ortak destek kanalları aracılığıyla doğrudan Booking.com adresine bildirin.
Bu kampanya, gerçekçi markayı kötü amaçlı yazılım yürütme taktikleriyle birleştirerek kimlik avı nasıl bir tehdit haline geldiğinin bir başka örneğidir. Otel yöneticileri ve personeli uyarı kalmalı ve konuk verilerini içeren beklenmedik e -postaları dikkatli olmalıdır.