Всплеск фишинговых атак на туристов: как злоумышленники подделывают Booking.com и атакуют гостиничные сети
Специалисты Cofense Intelligence зафиксировали новый рост фишинговых кампаний, ориентированных на пользователей туристической отрасли. Злоумышленники активно подделывают популярный сервис Booking.com, используя сложные методы социальной инженерии, чтобы обманом заставить жертв запускать вредоносные скрипты. Основной целью атак становятся гостиничные сети и предприятия сферы услуг размещения и питания.
Методика атак: ClickFix и социальная инженерия
Вредоносные кампании преимущественно базируются на техниках ClickFix. Жертвы получают электронные письма с ссылками на фальшивые сайты, замаскированные под Booking.com, где перед ними появляется фальшивая CAPTCHA. Вместо обычных кодов подтверждения эти сайты вставляют вредоносный скрипт, активирующий взаимодействие с пользователем.
Пользователей просят вручную запустить вредоносный скрипт с помощью сочетаний клавиш Windows, например, Windows + R для вызова окна «Run», куда затем вставляется скрипт из буфера обмена (через Ctrl + V) и запускается нажатием клавиши Enter.
- JavaScript-событие копирует вредоносный скрипт в буфер обмена при вводе капчи;
- скрипты обычно запускаются через техники PowerShell или Microsoft HTML Applications (.hta), выполняемые с помощью mshta.exe вместе с указанным URL;
- сайты специально проверяют пользовательский агент и отображают сообщения о поддержке только ОС Windows, поскольку вредоносное ПО ориентировано именно на эту платформу.
Рост активности и масштабы угроз
С ноября 2024 года отмечается заметный рост популярности данного метода. К марту 2025 года в 75% активных сообщений об угрозах использовались фишинговые кампании с подменой . По данным Cofense Intelligence, распространяемые вредоносные программы включают два основных типа:
- Remote Access Trojans (RATs) – трояны для удаленного доступа, обеспечивающие злоумышленникам полный контроль над заражёнными устройствами;
- Information stealers – похитители информации, способствующие краже конфиденциальных данных.
Ключевым зловредом стал XWorm RAT, отмеченный в 53% случаев. Также в кампании активно используются:
- Pure Logs Stealer – 19% сообщений;
- DanaBot – 14% сообщений.
Адаптивные тактики и особенности кампаний
Несмотря на вариативность схем атак, основной сценарий таков: жертве приходит фишинговое письмо, ведущее на поддельный сайт ClickFix с вредоносным скриптом. Характерной чертой является использование баннеров согласия на cookie-файлы и обязательных CAPTCHA, что повышает доверие пользователя и снижает подозрения.
_Эта адаптивность и внедрение элементов социальной инженерии указывают на эволюцию методов злоумышленников_, стремящихся максимально запутать пользователя и избежать детектирования.
Заключение
Рост таких фишинговых кампаний с использованием ClickFix и вредоносных скриптов подчёркивает сохраняющуюся угрозу кибербезопасности в сфере туристических услуг и гостеприимства. Применение сложных техник социальной инженерии в сочетании с ориентированным на Windows зловредным ПО требует от организаций из данных секторов повышения внимания к вопросам безопасности и более строгой фильтрации электронной почты.
_Рекомендации пользователям и IT-специалистам: не запускать скрипты, полученные через непроверенные ссылки, особенно если для этого требуется ручное взаимодействие с системой; обеспечивать своевременное обновление антивирусных решений и систем безопасности; критически относиться к любым письмам с просьбой пройти CAPTCHA или выполнить необычные действия в Windows._
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Рост фишинга с подделкой Booking.com и атаками ClickFix в 2025".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.