Booking.com wordt geïmiteerd in een social engineering-campagne die nepfoutmeldingen en gesimuleerde systeemstoringen gebruikt om gebruikers te misleiden tot het installeren van malware. De activiteit omvat een techniek genaamd ClickFix, die vertrouwt op gebruikersinteractie in plaats van softwareexploits om systemen te compromitteren.
Volgens cybersecurityonderzoekers begint de campagne met phishingmails die lijken te komen van Booking.com. De berichten beweren meestal dat een reservering is geannuleerd of dat er een betalingsprobleem is opgetreden, soms met een hoge kosten om urgentie te veroorzaken. Ontvangers worden verwezen om op een link te klikken om het vermeende probleem te bekijken.
De link leidt naar een frauduleuze website die is ontworpen om op Booking.com te lijken. De pagina toont wat lijkt op een laad- of verificatieprobleem en vraagt de gebruiker om actie te ondernemen om dit op te lossen. Na interactie met de pagina toont de browser een nep Windows Blue Screen of Death, bedoeld om de gebruiker ervan te overtuigen dat er een ernstige systeemfout is opgetreden.
Het scherm toont stapsgewijze instructies die de gebruiker aansturen om het Windows Run-venster te openen en een commando te plakken om het probleem op te lossen. Als dit wordt gevolgd, start het commando een PowerShell-script dat extra kwaadaardige code downloadt en uitvoert. Dit proces stelt aanvallers in staat malware te installeren terwijl de gebruiker gelooft dat ze hun systeem herstellen.
Onderzoekers zeiden dat de malware die in de campagne wordt ingezet een remote access trojan bevat waarmee aanvallers de controle over het geïnfecteerde systeem kunnen behouden. Het infectieproces probeert ook de beveiligingsinstellingen te verzwakken om de kans op detectie of verwijdering te verkleinen.
De campagne is waargenomen gericht op organisaties die regelmatig met Booking.com in contact komen, met name in de horecasector. Medewerkers die verantwoordelijk zijn voor reserveringen of betalingen zijn eerder geneigd om met de berichten in te gaan, wat de kans op succesvolle infectie vergroot.
De ClickFix-techniek voorkomt directe exploitatie door gebruikers te overtuigen zelf commando’s uit te voeren. Deze aanpak kan sommige geautomatiseerde beveiligingscontroles omzeilen, omdat de acties lijken te worden geïnitieerd door de gebruiker in plaats van door kwaadaardige software.
Onderzoekers adviseerden gebruikers om onverwachte e-mails over boekingen of betalingen voorzichtig te behandelen en instructies te vermijden die het uitvoeren van commando’s vereisen of vermeende systeemfouten te corrigeren. Ze zeiden dat legitieme bedrijven gebruikers niet vragen problemen op te lossen door scripts uit te voeren of commando’s in systeemtools te plakken.
De campagne benadrukt hoe social engineering zich blijft ontwikkelen door vertrouwde merkimitatie te combineren met realistische technische misleiding om toegang te krijgen tot systemen.