Booking.com viene impersonato in una campagna di social engineering che utilizza messaggi di errore falsi e guasti simulati del sistema per ingannare gli utenti e fargli installare malware. L’attività prevede una tecnica nota come ClickFix, che si basa sull’interazione dell’utente piuttosto che sugli exploit software per compromettere i sistemi.
Secondo i ricercatori della cybersecurity, la campagna inizia con email di phishing che sembrano provenire da Booking.com. I messaggi di solito affermano che una prenotazione è stata annullata o che si è verificato un problema di pagamento, a volte mostrando un costo elevato per anticipare l’urgenza. I destinatari sono invitati a cliccare su un link per esaminare il presunto problema.
Il link conduce a un sito web fraudolento progettato per assomigliare a Booking.com. La pagina mostra quello che sembra essere un problema di caricamento o verifica e invita l’utente ad agire per risolverlo. Dopo aver interagito con la pagina, il browser mostra una falsa Schermata Blu di Windows della Morte, pensata per convincere l’utente che si è verificato un grave errore di sistema.
Lo schermo mostra istruzioni passo dopo passo che guidano l’utente ad aprire la finestra di dialogo Esegui di Windows e a incollare un comando per risolvere il problema. Se seguito, il comando avvia uno script PowerShell che scarica ed esegue ulteriore codice malevolo. Questo processo permette agli attaccanti di installare malware facendo credere all’utente di stare ripristinando il proprio sistema.
I ricercatori hanno detto che il malware impiegato nella campagna include un trojan di accesso remoto che permette agli attaccanti di mantenere il controllo del sistema infetto. Il processo di infezione cerca anche di indebolire le impostazioni di sicurezza per ridurre la possibilità di rilevamento o rimozione.
La campagna è stata osservata rivolta a organizzazioni che interagiscono regolarmente con Booking.com, in particolare nel settore dell’ospitalità. I membri dello staff responsabili di prenotazioni o pagamenti sono più propensi a interagire con i messaggi, aumentando la probabilità di infezione di successo.
La tecnica ClickFix evita lo sfruttamento diretto persuadendo gli utenti a eseguire i comandi da soli. Questo approccio può aggirare alcuni controlli di sicurezza automatizzati, poiché le azioni sembrano essere avviate dall’utente piuttosto che da software dannoso.
I ricercatori hanno consigliato agli utenti di trattare con cautela le email impreviste riguardanti prenotazioni o pagamenti ed evitare di seguire istruzioni che richiedono comandi di esecuzione o la correzione di presunti errori di sistema. Hanno detto che le aziende legittime non chiedono agli utenti di risolvere problemi eseguendo script o incollando comandi negli strumenti di sistema.
La campagna mette in evidenza come l’ingegneria sociale continui a evolversi, combinando l’imitazione di un marchio affidabile con un inganno tecnico realistico per accedere ai sistemi.