Booking.com wird in einer Social-Engineering-Kampagne imitiert, die gefälschte Fehlermeldungen und simulierte Systemausfälle nutzt, um Nutzer dazu zu bringen, Malware zu installieren. Die Aktivität beinhaltet eine Technik namens ClickFix, die auf Benutzerinteraktion statt auf Software-Exploits zur Kompromittierung von Systemen setzt.
Laut Cybersicherheitsforschern beginnt die Kampagne mit Phishing-E-Mails, die offenbar von Booking.com stammen. Die Nachrichten behaupten in der Regel, dass eine Reservierung storniert wurde oder ein Zahlungsproblem aufgetreten ist, wobei manchmal eine hohe Gebühr angezeigt wird, um eine Dringlichkeit zu verursachen. Die Empfänger werden angewiesen, auf einen Link zu klicken, um das angebliche Problem zu überprüfen.
Der Link führt zu einer betrügerischen Website, die Booking.com ähnelt. Die Seite zeigt offenbar ein Lade- oder Verifizierungsproblem an und fordert den Nutzer auf, Maßnahmen zur Lösung zu ergreifen. Nach der Interaktion mit der Seite zeigt der Browser einen gefälschten Windows Blue Screen of Death an, der den Nutzer davon überzeugen soll, dass ein schwerwiegender Systemfehler vorliegt.
Der Bildschirm zeigt Schritt-für-Schritt-Anweisungen an, die den Benutzer anleiten, den Windows Run-Dialog zu öffnen und einen Befehl einzufügen, um das Problem zu lösen. Wird dieser befolgt, startet der Befehl ein PowerShell-Skript, das zusätzlichen schädlichen Code herunterlädt und ausführt. Dieser Prozess ermöglicht es den Angreifern, Malware zu installieren und den Nutzer glauben zu lassen, er würde sein System wiederherstellen.
Forscher sagten, dass die in der Kampagne eingesetzte Schadsoftware einen Fernzugriffs-Trojaner enthält, der es Angreifern ermöglicht, die Kontrolle über das infizierte System zu behalten. Der Infektionsprozess versucht außerdem, die Sicherheitseinstellungen zu schwächen, um die Wahrscheinlichkeit einer Entdeckung oder Entfernung zu verringern.
Die Kampagne richtet sich gegen Organisationen, die regelmäßig mit Booking.com interagieren, insbesondere im Gastgewerbe. Mitarbeiter, die für Reservierungen oder Zahlungen verantwortlich sind, reagieren eher auf die Nachrichten, was die Wahrscheinlichkeit einer erfolgreichen Infektion erhöht.
Die ClickFix-Technik vermeidet direkte Ausnutzung, indem sie Nutzer dazu bringt, Befehle selbst auszuführen. Dieser Ansatz kann einige automatisierte Sicherheitskontrollen umgehen, da die Aktionen scheinbar vom Benutzer initiiert werden und nicht von bösartiger Software.
Forscher rieten den Nutzern, unerwartete E-Mails zu Buchungen oder Zahlungen mit Vorsicht zu behandeln und Anweisungen zu vermeiden, die das Ausführen von Befehlen oder das Beheben angeblicher Systemfehler erfordern. Sie sagten, seriöse Unternehmen würden Nutzer nicht bitten, Probleme durch das Ausführen von Skripten oder das Einfügen von Befehlen in Systemwerkzeuge zu lösen.
Die Kampagne hebt hervor, wie sich Social Engineering weiterentwickelt, indem sie vertrauenswürdige Markenimitation mit realistischer technischer Täuschung kombiniert, um Zugang zu Systemen zu erhalten.