Booking.com est usurpé d’identité dans une campagne d’ingénierie sociale qui utilise de faux messages d’erreur et des défaillances simulées du système pour tromper les utilisateurs et les inciter à installer des logiciels malveillants. Cette activité implique une technique appelée ClickFix, qui repose sur l’interaction utilisateur plutôt que sur des exploits logiciels pour compromettre les systèmes.
Selon des chercheurs en cybersécurité, la campagne commence par des courriels de phishing qui semblent provenir de Booking.com. Les messages indiquent généralement qu’une réservation a été annulée ou qu’un problème de paiement est survenu, montrant parfois un coût élevé pour être urgent immédiatement. Les destinataires sont invités à cliquer sur un lien pour examiner le problème supposé.
Le lien mène à un site web frauduleux conçu pour ressembler à Booking.com. La page affiche ce qui semble être un problème de chargement ou de vérification et invite l’utilisateur à agir pour le résoudre. Après avoir interagi avec la page, le navigateur affiche un faux écran bleu de la mort de Windows destiné à convaincre l’utilisateur qu’une grave erreur système s’est produite.
L’écran affiche des instructions étape par étape qui guident l’utilisateur pour ouvrir la boîte de dialogue Exécuter Windows et coller une commande pour résoudre le problème. Si elle est suivie, la commande lance un script PowerShell qui télécharge et exécute du code malveillant supplémentaire. Ce processus permet aux attaquants d’installer des malwares tout en faisant croire à l’utilisateur qu’ils restaurent leur système.
Les chercheurs ont indiqué que le malware déployé dans la campagne inclut un cheval de Troie à accès à distance permettant aux attaquants de garder le contrôle du système infecté. Le processus d’infection tente également d’affaiblir les paramètres de sécurité afin de réduire les risques de détection ou de suppression.
La campagne a été observée ciblant les organisations qui interagissent régulièrement avec Booking.com, en particulier dans le secteur de l’hôtellerie. Les membres du personnel responsables des réservations ou des paiements sont plus susceptibles d’interagir avec les messages, ce qui augmente les chances d’infection réussie.
La technique ClickFix évite l’exploitation directe en incitant les utilisateurs à exécuter eux-mêmes les commandes. Cette approche peut contourner certains contrôles automatisés de sécurité, puisque les actions semblent être initiées par l’utilisateur plutôt que par des logiciels malveillants.
Les chercheurs ont conseillé aux utilisateurs de traiter les courriels inattendus concernant des réservations ou paiements avec prudence et d’éviter de suivre des instructions nécessitant d’exécuter des commandes ou de corriger des erreurs système présumées. Ils ont précisé que les entreprises légitimes ne demandent pas aux utilisateurs de résoudre des problèmes en exécutant des scripts ou en collant des commandes dans les outils système.
La campagne met en lumière comment l’ingénierie sociale continue d’évoluer en combinant l’imitation de marque de confiance avec une tromperie technique réaliste pour accéder aux systèmes.