Microsoft ha individuato una campagna phishing da dicembre 2024 (e ancora in corso) che sfrutta la notorietà di Booking per distribuire malware. I bersagli dei cybercriminali sono principalmente gli hotel che usano il servizio di intermediazione dell’azienda olandese. L’obiettivo è rubare dati sensibili attraverso vari infostealer.
Phishing e ingegneria sociale
Gli autori degli attacchi sono stati identificati come Storm-1865 da Microsoft. Le email inviate alle vittime sembrano provenire da Booking. Il contenuto è variabile. Può essere una richiesta di un potenziale ospite, un riferimento ad una recensione negativa oppure la verifica dell’account.
L’email include un link che porta su un sito fake simile a quello di Booking. Viene quindi chiesto di risolvere un CAPTCHA che, in realtà, sfrutta la nota tecnica di ingegneria sociale ClickFix. L’ignara vittima deve aprire Esegui...
con Windows + R, premere la combinazione CTRL + V ed eseguire il comando. Con la combinazione CTRL + V viene copiato il comando che scarica il malware.
Microsoft ha rilevato diverse famiglie di infostealer, tra cui XWorm, Lumma stealer, VenomRAT, AsyncRAT, Danabot e NetSupport RAT, che accedono a numerosi dati sensibili (credenziali, cookie, informazioni di pagamento e altri). Successivamente vengono inviati al server C2 (command and control) gestito dai cybercriminali.
L’azienda di Redmond fornisce una serie di consigli per evitare il pericolo: verificare il mittente dell’email, contattare direttamente Booking, posizionare il puntatore del mouse sul link (senza cliccare) per leggere l’URL completo, cercare eventuali errori di ortografia, utilizzare soluzioni di sicurezza e attivare l’autenticazione multi-fattore.