Хакери имитирају познати сајт, можда га и ви користите

Б92
Додај glassrpske.com као Гугле извор
Фото: Илустрација

Софистицирана пхисхинг кампања "ClickFix" лажно представља познати сајт Booking.com како би се угоститељске фирме заразиле малверима.

Ови малвери се користе за крађу информација, који нападачима омогућавају финансијске преваре и крађу.

Кампању, која је почела у децембру 2024. године, Microsoft Threat Intelligence је приписао групи познатој као Сторм-1865.

Нападачи користе технику друштвеног инжењеринга под називом ClickFix циљајући запослене у угоститељским фирмама у Сјеверној Америци, Океанији, Јужној и Југоисточној Азији и Европи, које вјероватно раде са Боокинг.цом, најпознатијом онлајн туристичком агенцијом.

Хакери користе лажне поруке о грешци које упућују кориснике да ријеше проблеме копирањем, лијепљењем и покретањем команди које на крају резултирају преузимањем малвера. Ова техника омогућава заобилажење конвенционалних и аутоматизованих безбједносних функција и инфекцију уређаја жртве.

Нападачи рачунају на жељу корисника да сами ријеше проблеме умјесто да упозоре ИТ тим или било кога другог.

Хакери користе више малвера који имају могућности да украду финансијске податке и лозинке, као што су XWorm, Lumma stealer, VenomRAT, AsyncRAT, Danabot i NetSupport RAT.

Мицрософт је рекао да је ова тактика виђена у ранијим кампањама групе Сторм-1865, укључујући и оне када су циљеви напада били гости хотела којима су се нападачи лажно представљали као Боокинг.цом.

Сторм-1865 почиње напад слањем имејла у име Боокинг.цом циљаној особи. Садржај порука значајно варира, од негативних рецензија гостију или захтјева потенцијалних гостију до верификације налога због промоције на мрежи.

У имејловима се од прималаца захтијева да предузму одређене радње како би се ријешио наводни проблем или упит. Они садрже линк или ПДФ фајл, за који се тврди да води примаоце на Booking.com.

Клик на линк води жртве на веб страницу која приказује лажни CAPTCHA изазов. Ово поље је прекривено суптилно видљивом позадином дизајнираном да имитира легитимну страницу  Booking.com, што жртви треба да створи лажни осјећај сигурности.

Лажни CAPTCHA упућује корисника да користи пречицу на тастатури да отвори Windows Run прозор, а затим налијепи и покрене команду коју веб страница додаје у цлипбоард. Команда преузима и покреће малвер преко фајла мсхта.еџе.

Украдени подаци за пријаву и друге осјетљиве информације, укључујући финансијске податке, се затим ексфилтрирају преко командног и контролног (Ц2) канала. Ове информације се могу користити за накнадне нападе, укључујући лажне финансијске трансакције.

Пратите нас на нашој Фејсбук и Инстаграм страници и X налогу.