Branża hotelarska celem kampanii phishingowej
Autor. Pexels/Andrea Piacquadio
Trwa kampania phishingowa wymierzona w pracowników hoteli oraz firm z sektora turystycznego w Europie. Oszuści rozsyłają fałszywe wiadomości e-mail podszywające się pod powiadomienia z serwisu Booking.com. Po kliknięciu w link użytkownikowi wyświetlany jest komunikat imitujący błąd systemu Windows.
Kampania, określana jako PHALT#BLYX, wykorzystuje wiadomości podszywające się pod Booking.com oraz fałszywe komunikaty systemu Windows. Celem ataku jest nakłonienie użytkownika do podjęcia określonego działania, co ostatecznie prowadzi do infekcji komputera złośliwym oprogramowaniem (technika ClickFix).
Czym jest ClickFix?
ClickFix to określenie techniki socjotechnicznej stosowanej w cyberatakach. Polega na nakłonieniu użytkownika do samodzielnego wykonania określonych czynności technicznych, które w rzeczywistości prowadzą do infekcji systemu lub przejęcia nad nim kontroli.
W atakach typu ClickFix cyberprzestępcy tworzą pozornie wiarygodny scenariusz problemu technicznego, na przykład błąd systemu, problem z płatnością lub awarię aplikacji. Następnie prezentują użytkownikowi instrukcje rzekomo prowadzące do rozwiązania problemu. Instrukcje te wymagają kliknięcia w link, uruchomienia narzędzia systemowego lub wklejenia polecenia do wiersza poleceń.
Czytaj też
Przebieg ataku
Jak podaje The Hacker News, początkowym etapem ataku są wiadomości e-mail podszywające się pod serwis Booking.com. Treść komunikatów informuje o rzekomych anulowaniach rezerwacji, nadpłatach lub konieczności dokonania zwrotów środków.
Autor. Securonix
Po kliknięciu w odnośnik zawarty w wiadomości zostajemy przekierowani na stronę internetową wizualnie imitującą serwis Booking.com. Strona ta początkowo prezentuje fałszywe komunikaty o błędach technicznych, po czym przełącza przeglądarkę w tryb pełnoekranowy i wyświetla Blue Screen of Death.
Symulacja krytycznego błędu systemu Windows ma na celu wywołanie poczucia zagrożenia oraz przekonanie użytkownika do podjęcia natychmiastowych działań.
Autor. Securonix
Na ekranie pojawiają się instrukcje sugerujące konieczność ręcznego wykonania czynności naprawczych. Użytkownik jest nakłaniany do uruchomienia narzędzia Windows Run i wklejenia polecenia do PowerShella. W rzeczywistości polecenie to inicjuje pobranie oraz uruchomienie złośliwego kodu. W ten sposób na systemie instalowany jest trojan zdalnego dostępu DCRat.
Czym jest DCRat?
DCRat (Dark Crystal RAT) to trojan zdalnego dostępu (RAT – Remote Access Trojan), który umożliwia atakującemu pełną kontrolę nad zainfekowanym systemem.
Po infekcji tym trojanem atakujący może m.in.: wykonywać polecenia zdalnie, kraść dane (hasła, pliki, dane przeglądarki), rejestrować naciśnięcia klawiszy (keylogger), robić zrzuty ekranu, uruchamiać dodatkowe moduły i kolejne złośliwe programy, a także omijać mechanizmy bezpieczeństwa systemu.
Aby chronić się przed takimi zagrożeniami, należy zachować szczególną ostrożność przy otwieraniu wiadomości e-mail i klikaniu w linki, zwracając uwagę na nadawcę i domenę, nawet jeśli wyglądają one wiarygodnie. Nigdy nie należy wklejać poleceń do PowerShella ani wykonywać instrukcji pochodzących z niepewnego źródła.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Cyfrowy Senior. Jak walczy się z oszustami?