حمله فیشینگ با جعل هویت وبسایت رزرو هتل

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، در یک کمپین فیشینگ که از دسامبر ۲۰۲۴ آغاز شده و تا فوریه ادامه داشته است، مهاجمان سایبری کارکنان صنعت مهمان‌داری را در آمریکای شمالی، آسیای جنوب شرقی و اروپا هدف قرار داده‌اند.

این افراد به دلیل ارتباط کاری با Booking.com، احتمال بیشتری دارد که ایمیل‌های ارسال‌شده از سوی این پلتفرم را باز کنند.

طبق گزارشی که روز پنجشنبه توسط مایکروسافت منتشر شد، مهاجمان از تکنیکی به نام "ClickFix" استفاده می‌کنند.

در این روش، هکرها تمایل طبیعی انسان به حل مشکلات را هدف قرار داده و پیام‌های خطای جعلی یا دستورالعمل‌هایی نمایش می‌دهند که کاربران را وادار به کپی، پیست و اجرای دستورات مخرب می‌کند که در نهایت منجر به دانلود بدافزار می‌شود.

مایکروسافت توضیح داد:

این موضوع نیاز به تعامل کاربر می‌تواند باعث شود که حمله از فیلترهای امنیتی سنتی و خودکار عبور کند. در این کمپین، کاربر تشویق می‌شود تا از یک میانبر صفحه کلید برای باز کردن پنجره ‘Run’ در ویندوز استفاده کند و سپس کدی را که در کلیپ‌بورد کپی شده است اجرا کند.

محققان این حمله را به گروه طوفان-1865 (Storm-1865) نسبت داده‌اند.

این گروه قبلاً نیز چندین کمپین فیشینگ را برای سرقت اطلاعات پرداختی و انجام تراکنش‌های جعلی اجرا کرده است.

ایمیل‌های مخرب حاوی انواع مختلف محتوا بودند، از جمله بررسی‌های منفی مهمانان، درخواست تأیید حساب، یا پیام‌هایی که به‌عنوان درخواست‌های احتمالی مهمانان مطرح می‌شدند.

اغلب این ایمیل‌ها شامل لینک یا فایل PDF بودند که ادعا می‌کرد کاربران را به وبسایت Booking.com هدایت می‌کند، اما در واقع، این لینک‌ها کاربران را به یک صفحه جعلی CAPTCHA منتقل می‌کردند، جایی که حمله ClickFix اجرا می‌شد.

محققان مایکروسافت اعلام کردند:

در این روش، کاربر باید از میانبر صفحه کلید برای باز کردن پنجره ‘Run’ در ویندوز استفاده کند و سپس کدی که در کلیپ‌بورد کپی شده است را اجرا کند. از این طریق، بدافزار روی دستگاه قربانی دانلود می‌شود.

مایکروسافت اعلام کرد که چندین نوع بدافزار بر روی دستگاه‌های قربانیان شناسایی شده است، از جمله ایکس وورم (XWorm)، لوما استیلر (Lumma Stealer)، ونوم رت (VenomRAT)، ای سینک رت (AsyncRAT)، دانابات (Danabot) و نت ساپورت رت (NetSupport RAT).

تمام این بدافزارها به هکرها امکان سرقت اطلاعات مالی و اعتباری را می‌دهند.

سخنگوی وبسایت Booking.com در واکنش به این حمله اعلام کرد:

تعداد اقامتگاه‌هایی که تحت تأثیر این کلاهبرداری قرار گرفته‌اند، تنها بخش کوچکی از کل اقامتگاه‌های موجود در پلتفرم ما هستند. ما سرمایه‌گذاری‌های قابل‌توجهی برای محدود کردن تأثیر این حمله بر مشتریان و شرکای خود انجام داده‌ایم. در حالی که می‌توانیم تأیید کنیم که سیستم‌های داخلی Booking.com دچار نقض امنیتی نشده‌اند، متأسفانه برخی از شرکای اقامتی و مشتریان ما هدف حملات فیشینگ قرار گرفته‌اند که هدف آن‌ها تصاحب سیستم‌های محلی این افراد از طریق بدافزار بوده است.

مایکروسافت اشاره کرد که طوفان-1865 در سال ۲۰۲۳، مهمانان هتل‌ها را با استفاده از حملات فیشینگ مرتبط با وبسایت Booking.com هدف قرار داده بود.

همچنین، در سال ۲۰۲۴، این گروه مشتریان حوزه تجارت الکترونیک را با پیام‌های فیشینگ مورد حمله قرار داد.

مایکروسافت هشدار داد که این نوع حملات فیشینگ از اوایل ۲۰۲۳ افزایش قابل‌توجهی داشته است و از کارکنان بخش مهمان‌داری خواست که ایمیل‌های دریافتی را با دقت بررسی کنند، از جمله بررسی آدرس فرستنده ایمیل، جستجوی اشتباهات املایی در متن ایمیل و مراقبت از پیام‌هایی که کاربران را وادار به انجام اقدامی خاص می‌کنند.

با توجه به این تهدیدات، هتل‌ها و اقامتگاه‌ها باید تدابیر امنیتی بیشتری را برای محافظت از کارکنان و سیستم‌های خود در برابر حملات سایبری اتخاذ کنند.