Booking.com, sahte hata mesajları ve simüle edilmiş sistem hataları kullanarak kullanıcıları kötü amaçlı yazılım yüklemeye kandıran bir sosyal mühendislik kampanyasında taklit ediliyor. Bu etkinlik, sistemleri ele geçirmek için yazılım açığları yerine kullanıcı etkileşimine dayanan ClickFix adlı bir tekniği içerir.
Siber güvenlik araştırmacılarına göre, kampanya Booking.com’den geldiği görünen oltalama e-postalarıyla başlıyor. Mesajlar genellikle rezervasyonun iptal edildiğini veya ödeme sorunu yaşandığını iddia eder, bazen acil durum için yüksek bir ücret gösterilir. Alıcılar, sözde sorunu incelemek için bir bağlantıya tıklamaları için yönlendirilir.
Bu bağlantı, Booking.com gibi tasarlanmış sahte bir web sitesine götürüyor. Sayfa, yükleme veya doğrulama sorunu gibi görünen bir şeyi gösterir ve kullanıcıdan bunu çözmek için harekete geçmesini önerir. Sayfayla etkileşime girdikten sonra, tarayıcı kullanıcıyı ciddi bir sistem hatası olduğuna ikna etmek amacıyla sahte bir Windows Mavi Ölüm Ekranı gösterir.
Ekran, kullanıcıya Windows Run diyalogunu açıp sorunu çözmek için bir komut yapıştırmasını sağlayan adım adım talimatlar gösterilir. Eğer uygulanırsa, komut ek zararlı kodları indirip çalıştıran bir PowerShell betiği başlatır. Bu süreç, saldırganların zararlı yazılım yüklemesini sağlarken kullanıcının sistemlerini geri getirdiğine inanmasını sağlar.
Araştırmacılar, kampanyada kullanılan kötü amaçlı yazılımın, saldırganların enfekte sistemin kontrolünü sürdürmesini sağlayan uzaktan erişim trojan içerdiğini söyledi. Enfeksiyon süreci ayrıca tespit veya kaldırılma şansını azaltmak için güvenlik ayarlarını zayıflatmaya çalışır.
Kampanya, özellikle konaklama sektöründe Booking.com ile düzenli etkileşimde bulunan kuruluşları hedef aldığı gözlemlenmiştir. Rezervasyon veya ödemelerden sorumlu personel üyeleri mesajlarla daha fazla etkileşime girer ve bu da başarılı enfeksiyon olasılığını artırır.
ClickFix tekniği, kullanıcıları komutları kendilerinin çalıştırmasına ikna ederek doğrudan sömürülmeyi önler. Bu yaklaşım, bazı otomatik güvenlik kontrollerini aşabilir, çünkü eylemler kötü amaçlı yazılım yerine kullanıcı tarafından başlatılmış gibi görünür.
Araştırmacılar, kullanıcılara rezervasyon veya ödeme ile ilgili beklenmedik e-postalara dikkatli yaklaşmalarını ve komutların çalıştırılması veya iddia edilen sistem hatalarının düzeltilmesi gereken talimatları takip etmemelerini tavsiye etti. Yasal şirketlerin kullanıcılardan sorunları çözmelerini betik çalıştırarak veya sistem araçlarına komut yapıştırarak istemediklerini belirttiler.
Kampanya, sosyal mühendisliğin güvenilir marka taklitiyle gerçekçi teknik aldatmacaları birleştirerek sistemlere erişim sağladığını vurguluyor.