Новая волна кибермошенничества с поддельными сайтами Booking.com и вредоносными скриптами
Современные киберпреступники всё чаще используют сложные схемы для обмана пользователей, особенно в сфере путешествий. Последние исследования показывают, что манипуляция ссылками на игровых веб-сайтах и в социальных сетях через спонсорскую рекламу стала эффективным инструментом для перенаправления пользователей на мошеннические сайты, имитирующие популярный сервис Booking.com.
Механизм атаки и основные риски
Злоумышленники эксплуатируют тот факт, что около 40% путешественников предпочитают бронировать отели через обычный онлайн-поиск. Эта особенность поведения создает уязвимость, которую мошенники используют для привлечения жертв.
Попадая по обманчивой ссылке, пользователь оказывается на сайте со поддельной капчей. Эта капча просит предоставить доступ к буферу обмена, что дает злоумышленникам возможность считывать данные, которые пользователь копирует. На первый взгляд невинная операция оказывается началом цепочки вредоносных действий:
- Пользователь вводит или копирует предложенный контент и вставляет его в диалоговое окно запуска Windows.
- Если выполнение инструкции происходит, открывается окно PowerShell, которое загружает файл ckjg.exe.
- Далее запускается Stub.exe, идентифицированный Malwarebytes и ThreatDown как черный ход AsyncRAT.
AsyncRAT — это инструмент удалённого доступа (RAT), предоставляющий злоумышленнику полный контроль над заражённым устройством. Такая угроза ставит под серьёзный риск конфиденциальность и безопасность данных пользователей.
Рекомендации по защите от новой угрозы
Чтобы минимизировать риск заражения и утечки данных, эксперты советуют:
- Никогда не выполнять без детального анализа команды или инструкции, полученные с подозрительных веб-сайтов.
- Использовать современное ПО для защиты от вредоносного ПО, способное блокировать подозрительные веб-сайты и скрипты.
- Устанавливать браузерные расширения, предназначенные для предотвращения доступа к мошенническим доменам.
- Отключать JavaScript в браузере для снижения риска эксплуатации уязвимости execCommand("copy"), хотя это может повлиять на функциональность многих сайтов.
- Использовать разные браузеры для разных видов деятельности, что ограничит воздействие потенциально опасных сайтов.
Техническое описание уязвимости
В отчёте о функциях JavaScript была выявлена конкретная уязвимость, связанная с функцией execCommand("copy"). Она отвечает за доступ к буферу обмена, позволяя вредоносным скриптам считывать и модифицировать скопированные данные. Отключение или ограничение работы данной функции может снизить вероятность успешной атаки, но при этом негативно скажется на работе многих легитимных веб-сервисов.
Заключение
Современные методы социальной инженерии, дополняемые техническими уязвимостями, делают киберопасности в сфере онлайн-услуг всё более изощрёнными. Пользователям критически важно сохранять бдительность при работе с веб-ресурсами, особенно когда речь идет о выполнении инструкций, связанных с системным доступом. Активная защита, внимательность и использование современных инструментов безопасности — лучшие способы избежать попадания в ловушки кибермошенников.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Манипуляции с ссылками и поддельные CAPTCHA: новая угроза безопасности".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.