Мошенники используют поддельные сайты Booking.com для распространения вредоносного ПО AsyncRAT

Попадая на поддельный сайт, жертвы сталкиваются с фальшивой CAPTCHA, которая копирует вредоносный код в буфер обмена. После этого злоумышленники пытаются заставить пользователя выполнить команду в системе через окно «Выполнить» (Run). Такой метод никогда не применяется в настоящих CAPTCHA и должен вызывать подозрения.

Браузер Chrome может предупредить о потенциальной угрозе, но его сообщение не всегда понятно пользователям. Плагин Malwarebytes Browser Guard выдаёт более конкретное предупреждение: «Эй, вы только что что-то скопировали? Будьте осторожны - содержимое буфера обмена может быть опасным. Не вставляйте его в терминал или письмо, если не уверены в источнике».

Скопированный текст содержит замаскированную PowerShell-команду, которая при выполнении загружает и запускает вредоносный файл Stub.exe, известный как Backdoor.AsyncRAT. Этот троян предоставляет злоумышленникам полный контроль над устройством, позволяя красть конфиденциальные данные, включая финансовую информацию, что может привести к серьёзным убыткам и даже краже личных данных.

Эксперты рекомендуют не игнорировать предупреждения браузеров и антивирусов, а также избегать выполнения подозрительных команд, особенно если они требуют действий с буфером обмена или PowerShell.

Domains

• bkngnet.com
• booking.badgustrewivers.com.com
• booking.chargesguestescenter.com
• booking.extranet-listing.com
• booking.guestsalerts.com
• booking.gustescharge.com
• booking.property-paids.com
• booking.rewiewqproperty.com
• guestalerthelp.com
• hekpaharma.com
• kvhandelregis.com
• partnervrft.com
• patheer-moreinfo.com
• rewiewwselect.com