В декабре 2024 года была обнаружена фишинговая кампания, которая представляла себя как популярное онлайн-агентство путешествий Booking.com. Эта кампания, известная как Storm-1865, была нацелена на гостиничный бизнес и использовала технику социальной инженерии под названием ClickFix. Она предлагала поддельные электронные письма, якобы от Booking.com, с целью украсть учетные данные сотрудников гостиничных организаций.
Описание
Кампания фокусировалась на сотрудниках гостиничных организаций в различных регионах мира, которые скорее всего работали с Booking.com. В письмах использовалась техника ClickFix, которая обманывала получателей, выводя на экран фальшивые сообщения об ошибках или подсказки, чтобы они скопировали, вставили и запустили вредоносные команды. Это позволяло фишингерам обойти обычные и автоматические средства защиты.
Фишинговые письма содержали ссылки или вложения, которые представлялись как страницы Booking.com. После перехода по ссылке, пользователю отображалась поддельная CAPTCHA, имитирующая официальную страницу Booking.com. Затем пользователю предлагалось выполнить некоторые действия, которые фактически загружали вредоносный код через mshta.exe. Кампания использовала различные фамилии вредоносных программ, таких как XWorm, Lumma stealer, VenomRAT и другие, с целью кражи финансовых данных и учетных записей.
Microsoft отслеживает эту кампанию и рекомендует организациям обучать своих сотрудников распознавать фишинговые атаки. Добавление техники ClickFix в тактику Storm-1865 показывает, как злоумышленники постоянно развивают свои методы атак, стремясь обойти существующие средства защиты.
Indicators of Compromise
IPv4
- 147.45.44.131
- 176.113.115.170
- 176.113.115.225
- 185.149.146.164
- 185.7.214.54
- 31.177.110.99
- 87.121.221.124
- 92.255.57.155
SHA256
- 01ec22c3394eb1661255d2cc646db70a66934c979c2c2d03df10127595dc76a6
- 0c96efbde64693bde72f18e1f87d2e2572a334e222584a1948df82e7dcfe241d
- f87600e4df299d51337d0751bcf9f07966282be0a43bfa3fd237bf50471a981e
