大规模ClickFix钓鱼攻击利用PureRAT恶意软件瞄准酒店系统

网络安全研究人员发现针对酒店行业的大规模钓鱼活动,攻击者使用ClickFix社交工程技术和PureRAT恶意软件窃取登录凭证,通过仿冒Booking.com的钓鱼邮件入侵酒店系统,获取预订网站访问权限并进行欺诈活动。

大规模ClickFix钓鱼攻击利用PureRAT恶意软件瞄准酒店系统

网络安全研究人员注意到一个针对酒店行业的大规模钓鱼活动。该活动诱使酒店经理访问ClickFix风格网站,并使用PureRAT等恶意软件获取其登录凭证。

“攻击者的作案手法涉及使用被入侵的电子邮件账户向多家酒店发送恶意消息,“Sekoia表示。“此活动利用仿冒Booking.com的鱼叉式钓鱼邮件将受害者重定向到恶意网站,采用ClickFix社交工程技术部署PureRAT。”

该活动的最终目标是从被入侵系统中获取凭证,使威胁行为者能够未经授权访问Booking.com或Expedia等预订网站。这些凭证随后在网络犯罪论坛上出售,或用于向酒店客人发送虚假电子邮件以实施欺诈。

该活动被认为自2025年10月初开始运作,且至少自2025年4月以来一直活跃。这是已观察到的多个针对性努力之一,包括微软在3月初报告的一系列攻击。

在这家法国网络安全公司分析的最新攻击浪潮中,电子邮件从被入侵的电子邮件账户发送到多个国家的多家酒店。收件人被诱骗点击虚假链接,这些链接指向带有所谓reCAPTCHA验证的ClickFix页面,以"确保连接安全”。

“访问后,URL将用户重定向到托管JavaScript的网页,该脚本包含一个异步函数,在短暂延迟后检查页面是否在iframe内显示,“Sekoia说。“目的是将用户重定向到相同的URL,但通过HTTP协议。”

这导致受害者复制并运行恶意PowerShell脚本,该脚本收集系统数据并下载包含程序的ZIP存档,最终通过DLL侧加载配置持久性并加载PureRAT(也称为zgRAT)。

该模块化病毒支持众多功能,包括远程访问、鼠标和键盘控制、网络摄像头和麦克风捕获、键盘记录、文件上传/下载、流量代理、数据窃取以及命令或二进制文件的远程执行。此外,它还会创建Run注册表项以在主机上建立持久性,并受.NET Reactor保护以使逆向工程更加困难。

此外,已发现该活动通过电子邮件或WhatsApp与酒店客人联系,提供有效的预订信息,要求他们确认银行卡信息并点击链接作为验证过程的一部分,以防止预订被取消。

当毫无戒心的访客点击链接时,他们会被引导到一个看起来像Booking.com或Expedia的欺诈登录页面,实际上旨在收集他们的信用卡详细信息。

根据评估,该计划的威胁行为者从LolzTeam等非法网站获取Booking.com管理员信息,在某些情况下,他们甚至根据利润分成提供报酬。然后利用获取的信息通过社交工程在他们系统上安装远程访问木马(RAT)或信息窃取程序。负责恶意软件传播的专职专家Traffers被选中处理这项工作。

“Booking.com外部网账户在针对酒店行业的欺诈计划中起着关键作用,“Sekoia表示。“因此,从这些账户收集的数据已成为有利可图的商品,经常在非法市场上出售。”

“攻击者将这些账户作为身份验证cookie或从信息窃取程序日志中提取的登录/密码对进行交易,因为这些收集的数据通常来自酒店管理员系统的恶意软件入侵。”

该公司声称观察到名为"moderator_booking"的威胁行为者推广Booking日志购买服务,以获取与Booking.com、Expedia、Airbnb和Agoda相关的日志,以及购买Booking.com日志的Telegram机器人。他们声称在24至48小时内手动审查日志。

这通常通过使用日志检查程序完成,这些程序可以在网络犯罪论坛上以低至40美元的价格找到。这些工具通过代理验证受损账户,确保收集的凭证仍然有效。

“支持Booking.com攻击链每个步骤的网络犯罪服务激增,反映了这种欺诈模式的专业化,“Sekoia表示。“通过采用’即服务’模式,网络犯罪分子降低了入门门槛并最大化利润。”

Push Security揭示了ClickFix社交工程技术的更新,包括嵌入式视频、倒计时器和"过去一小时已验证用户"计数器,以及提高感知真实感并欺骗用户完成检查而无需多想的说明。

另一个显著更新是页面能够自适应显示与受害者操作系统匹配的说明,要求他们打开Windows运行对话框或macOS终端应用程序,具体取决于他们访问的设备。这些页面也越来越配备自动将恶意代码复制到用户剪贴板的功能,这种技术称为剪贴板劫持。

“ClickFix页面变得越来越复杂,使得受害者更可能上当受骗,“Push Security表示。“ClickFix有效负载变得越来越多样化,并找到新的方法来规避安全控制。”

立即了解您组织的员工是否可能被网络犯罪分子使用各种技术进行钓鱼攻击!

所有人员都容易受到钓鱼攻击,在某些情况下,只需发送一封钓鱼电子邮件。了解组织员工构成的确切安全威胁以及用户账户可能如何被入侵至关重要。

以下是Craw Security钓鱼模拟服务的工作方式:

  • 我们具有凭据捕获模式,可诱使用户提交关键信息
  • 大量模拟MFA/2FA的模板,使用基于时间的存储和验证器代码算法
  • 我们的MFA还具有多表单界面,使目标感觉合法
  • 自适应MFA挑战场景,如地理位置、设备指纹识别或时间异常,向用户提供针对性培训

要了解更多关于Craw Security钓鱼模拟服务中各种设施的信息,您可以访问我们的官方网站Craw Security。或者,致电我们的热线号码+91-9513805401,并向我们的代表说出神奇词汇"Phishing”。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次