Booking.com está sendo se passando por uma campanha de engenharia social que usa mensagens de erro falsas e falhas simuladas do sistema para enganar usuários a instalar malware. A atividade envolve uma técnica conhecida como ClickFix, que depende da interação do usuário, em vez de exploits de software, para comprometer sistemas.
Segundo pesquisadores de cibersegurança, a campanha começa com e-mails de phishing que parecem vir de Booking.com. As mensagens normalmente afirmam que uma reserva foi cancelada ou que ocorreu um problema de pagamento, às vezes mostrando uma cobrança alta para urgente. Os destinatários são orientados a clicar em um link para revisar o suposto problema.
O link leva a um site fraudulento projetado para se assemelhar a Booking.com. A página mostra o que parece ser um problema de carregamento ou verificação e solicita ao usuário que tome uma atitude para resolvê-lo. Após interagir com a página, o navegador exibe uma falsa Tela Azul da Morte do Windows, destinada a convencer o usuário de que ocorreu um erro grave do sistema.
A tela exibe instruções passo a passo que orientam o usuário a abrir a janela de diálogo Executar o Windows e colar um comando para resolver o problema. Se seguido, o comando inicia um script PowerShell que baixa e executa código malicioso adicional. Esse processo permite que os atacantes instalem malware enquanto fazem o usuário acreditar que está restaurando seu sistema.
Pesquisadores disseram que o malware implantado na campanha inclui um trojan de acesso remoto que permite aos atacantes manter o controle do sistema infectado. O processo de infecção também tenta enfraquecer as configurações de segurança para reduzir a chance de detecção ou remoção.
A campanha tem sido observada como alvo de organizações que interagem regularmente com Booking.com, especialmente no setor de hospitalidade. Os funcionários responsáveis por reservas ou pagamentos têm maior probabilidade de interagir com as mensagens, aumentando a probabilidade de infecção bem-sucedida.
A técnica ClickFix evita a exploração direta ao persuadir os usuários a executarem comandos por conta própria. Essa abordagem pode contornar alguns controles automatizados de segurança, já que as ações parecem ser iniciadas pelo usuário e não por softwares maliciosos.
Pesquisadores aconselharam os usuários a tratar e-mails inesperados sobre reservas ou pagamentos com cautela e a evitar seguir instruções que exigem execução de comandos ou correção de supostos erros do sistema. Eles disseram que empresas legítimas não pedem aos usuários que resolvam problemas executando scripts ou colando comandos em ferramentas do sistema.
A campanha destaca como a engenharia social continua a evoluir ao combinar a personificação confiável da marca com enganos técnicos realistas para obter acesso aos sistemas.