В декабре 2024 года Microsoft Threat Intelligence выявила новую фишинговую кампанию, которая целенаправленно атакует индустрию гостеприимства, маскируясь под Booking.com. Используя метод социальной инженерии, известный как ClickFix, злоумышленники обманом заставляют пользователей выполнять команды, способствующие загрузке вредоносных программ, нацеленных на хищение финансовых данных.
Целевая аудитория и методология атак
Кампания, начавшаяся в феврале 2025 года, охватывает широкий спектр работников гостиничных компаний в таких регионах, как:
- Северная Америка
- Океания
- Европа
Технология ClickFix использует склонность пользователей к устранению неполадок, демонстрируя поддельные сообщения об ошибках. Эти сообщения побуждают пользователей открыть окно запуска Windows и ввести команды с фишинговой страницы, использующей mshta.exe для загрузки и выполнения вредоносного ПО.
Методы обхода защиты
Этот процесс позволяет злоумышленникам обходить традиционные средства защиты, основанные на автоматическом обнаружении атак. Microsoft отслеживает данную активность под идентификатором Storm-1865, который связан с различными фишинговыми операциями, ведущими к краже платежных данных.
Фишинговые сообщения и вредоносное ПО
Фишинговые письма данной кампании варьируются по своему содержанию и касаются таких тем, как:
- негативные отзывы
- рекламные возможности
- проверка учетной записи
Наиболее распространенное вредоносное ПО, использующееся в этой кампании, включает:
— XWorm
— Lumma stealer
— VenomRAT
— AsyncRAT
— Danabot
— NetSupport RAT
Эти инструменты обладают возможностями сбора финансовых данных и учетных записей пользователей. Конкретные команды, выполняемые с помощью mshta.exe, варьируются в зависимости от вредоносной нагрузки и могут включать загрузку дополнительных скриптов на языке PowerShell и исполняемых файлов.
Адаптация тактики злоумышленников
Storm-1865 продемонстрировала свою адаптивность, изменяя тактики, методы и процедуры (TTP), включая использование ClickFix для уклонения от традиционных средств безопасности. Стратегии хакеров претерпели изменения с начала 2023 года; предыдущие кампании, основанные на фишинговых сообщениях, также приводили к мошенническим финансовым транзакциям.
Рекомендации по безопасности
Для смягчения последствий подобных фишинговых угроз организациям рекомендуется:
- Учить пользователей распознавать подобные виды мошенничества.
- Использовать инструменты обнаружения вредоносных действий, предлагаемые Microsoft в продуктах Defender.
Эти меры подчеркивают необходимость проактивного подхода к безопасности против новых киберугроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Новая фишинговая угроза: ClickFix атакует гостиничную индустрию".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.