Microsoft upozorava na ClickFix phishing kampanju koja cilja sektor ugostiteljstva putem lažnih Booking[.]com e-mailova

Microsoft je objavio detalje o tekućoj phishing kampanji koja cilja sektor ugostiteljstva, lažno se predstavljajući kao online turistička agencija Booking.com, koristeći sve popularniju tehniku socijalnog inženjeringa pod nazivom ClickFix za isporuku malvera koji krade krendcijale.

Ova aktivnost, prema timu za obavještavanje o prijetnjama iz Microsofta, započela je u decembru 2024. godine i ima za cilj provođenje finansijske prevare i krađe. Kampanja se prati pod nazivom Storm-1865.

“Ovaj phishing napad posebno cilja osobe u ugostiteljskim organizacijama u Sjevernoj Americi, Okeaniji, Južnoj i Jugoistočnoj Aziji, te Sjevernoj, Južnoj, Istočnoj i Zapadnoj Evropi, koje najvjerovatnije rade sa Booking.com-om, šaljući lažne e-mailove koji se predstavljaju kao da dolaze od agencije”, navodi se u izvještaju Microsofta objavljenom na portalu The Hacker News.

Tehnika ClickFix postala je široko rasprostranjena posljednjih mjeseci, jer navodi korisnike da izvrše malver pod izgovorom popravke navodne (nepostojeće) greške, kopiranjem, lijepljenjem i pokretanjem obmanjujućih uputa koje aktiviraju proces infekcije. Prvi put je otkrivena u divljini u oktobru 2023. godine.

Napad počinje tako što Storm-1865 šalje maliciozni e-mail ciljanoj osobi o negativnoj recenziji koju je navodno ostavio gost na Booking.com-u, tražeći njihovu “povratnu informaciju”. Poruka takođe sadrži link ili PDF prilog sa linkom koji se čini da vodi ka stranici za rezervacije.

Međutim, u stvarnosti, klik na taj link vodi žrtvu na lažnu stranicu za CAPTCHA verifikaciju, koja je postavljena preko pozadine koja diskretno imitira legitimnu Booking.com stranicu. Na ovaj način napadači stvaraju lažni osjećaj sigurnosti i povećavaju vjerovatnoću uspješne kompromitacije.

“Lažna CAPTCHA stranica koristi tehniku ClickFix socijalnog inženjeringa za preuzimanje malicioznih tereta,” navodi Microsoft. “Ova tehnika upućuje korisnika da koristi prečicu na tastaturi kako bi otvorio Windows Run prozor, zatim zalijepi i pokrene naredbu koju stranica dodaje u clipboard.”

Naredba koristi legitimni mshta.exe binarni fajl za preuzimanje sljedeće faze malvera, koja uključuje različite porodice malvera kao što su XWorm, Lumma stealer, VenomRAT, AsyncRAT, Danabot i NetSupport RAT.

Microsoft je ranije primijetio da Storm-1865 cilja kupce koji koriste e-commerce platforme, šaljući phishing poruke koje vode do lažnih stranica za plaćanje. Uvođenje tehnike ClickFix pokazuje taktičku evoluciju osmišljenu za izbjegavanje konvencionalnih sigurnosnih mjera protiv phishinga i malvera.

“Napadač kojeg Microsoft prati kao Storm-1865 predstavlja skup aktivnosti phishing kampanja, što dovodi do krađe podataka o plaćanju i lažnih naplata”, dodali su iz Microsofta.

“Te kampanje su u porastu od početka 2023. godine i uključuju poruke poslane putem platformi dobavljača, kao što su online turističke agencije i e-commerce platforme, te e-mail servisi poput Gmaila ili iCloud Maila.”

ClickFix tehnika je toliko efikasna da su je čak i ruske i iranske državne grupe poput APT28 i MuddyWater usvojile kako bi namamile svoje žrtve.

“Metoda koristi ljudsko ponašanje: predstavljanjem uvjerljivog ‘rješenja’ za percipirani problem, napadači prebacuju teret izvršenja na korisnika, efikasno zaobilazeći mnoge automatske zaštite,” navodi se u izvještaju kompanije Group-IB.

Jedna od kampanja dokumentovana od strane singapurske kompanije za cyber sigurnost uključuje korištenje ClickFix-a za preuzimanje downloadera pod nazivom SMOKESABER, koji zatim služi kao kanal za Lumma Stealer. Druge kampanje koriste malvertising, SEO trovanje, GitHub probleme i spamovanje foruma ili društvenih mreža sa linkovima na ClickFix stranice.

“ClickFix tehnika predstavlja evoluciju strategija socijalnog inženjeringa, iskorištavajući korisničko povjerenje i funkcionalnosti preglednika za implementaciju malvera,” navodi Group-IB.

Otkrića dolaze dok Trustwave detaljno opisuje e-mail phishing kampanju koja koristi mamce u vezi sa fakturama za distribuciju ažurirane verzije drugog malvera pod nazivom StrelaStealer, za koji se procjenjuje da ga upravlja pojedinačni akter prijetnje nazvan Hive0145.

“Uzorci StrelaStealera uključuju prilagođenu višeslojnu obfuskaciju i izravnavanje toka koda kako bi se otežala analiza,” navodi kompanija.

Izvor:The Hacker News