Security Week 2512: кибератаки на гостиничный бизнес

Security Week 2512: кибератаки на гостиничный бизнес
На прошлой неделе компания Microsoft опубликовала подробный отчет о кибератаках, ориентированных на владельцев гостиниц, зачастую неизбежно работающих с сервисом Booking.com. Целью атак является кража учетной записи в этом сервисе с последующим доступом к платежным средствам и, возможно, атакам уже на гостей.


Интересной особенностью данной киберкриминальной кампании является использование достаточно популярного в последнее время приема, когда под видом «верификации пользователя» жертве предлагают скопировать и запустить вредоносный скрипт. Для этих атак наконец-то придумали название: ClickFix. Термин намекает на еще один метод маскировки кибератаки: под средство решения каких-то надуманных проблем с компьютером.

Атака начинается с массовой рассылки владельцам и сотрудникам гостиниц сообщений, зачастую замаскированных под официальное сообщение от сервиса Booking.com:


Отмечены и другие вариации сообщений: это также может быть письмо якобы от клиента с просьбой посмотреть странный отзыв от гостиницы. При переходе по ссылке жертве предлагается «доказать, что вы не робот» как раз путем выполнения вредоносного скрипта. Скрипт заранее помещается в коде фишинговой веб-страницы в буфер обмена: пользователю достаточно вызвать командную строку Windows и вставить код.


В одном из вариантов атаки запускается легитимная утилита mshta.exe. Это рудимент браузера Internet Explorer, позволяющий выполнять приложения, написанные на языке HTML. Загруженный с сайта злоумышленников скрипт выполняется и устанавливает одну из множества вредоносных программ, целью которых является кража пользовательских данных. Среди использованных видов вредоносного ПО упоминаются XWorm, стилер Lumma, VenomRAT, AsyncRAT, DanaBot и троян NetSupport. В других случаях mshta.exe не используется, а вместо него загружается и выполняется скрипт PowerShell или JavaScript.

Техника ClickFix широко освещалась в прошлом году. Примеры, когда пользователей заставляют выполнить вредоносный код через командную строку описаны в этом исследовании стилера Lumma. Очевидной особенностью данной тактики является ее кроссплатформенность, аналогичные атаки также проводились на пользователей macOS. Гостиничный сектор можно назвать наиболее уязвимым для подобных атак, так как сотрудникам таких организаций приходится постоянно работать с сообщениями клиентов. Но, по данным Microsoft, организаторы этой атаки ранее таргетировали и клиентов гостиниц, а также атаковали пользователей интернет-магазинов.

Что еще произошло

В обновлении iOS 18.3.2 компания Apple закрыла серьезную, эксплуатируемую уязвимость в браузерном движке WebKit. Никаких технических подробностей Apple по традиции не сообщает, известно только, что уязвимость CVE-2025-24201 позволяла записывать данные за пределы выделенного диапазона памяти, что в свою очередь позволяло совершить побег из «песочницы» для веб-контента.

Новое исследование экспертов «Лаборатории Касперского» разбирает инструментарий APT-группы SideWinder. Еще одна публикация расследует атаки группировок Head Mare и Twelve на российские организации.

Новый пример критической уязвимости в сетевой веб-камере, которая никогда не будет закрыта. В устройстве Edimax IC-7100 обнаружена проблема CVE-2025-1316, позволяющая получить полный контроль над устройством. Уязвимость требует авторизации, но зачастую такие устройства используют стандартную пару логин-пароль. С начала марта проблема активно эксплуатируется ботнетами на базе Mirai. Производителя, впрочем, здесь тоже можно понять — эта древняя, но до сих пор используемая веб-камера была снята с поддержки больше 10 лет назад.

GitLab закрыл серьезные уязвимости , позволяющие обойти систему аутентификации пользователей в самостоятельно устанавливаемых версиях ПО Community и Enterprise Edition.

Свежий набор исправлений для продуктов Microsoft закрывает шесть уязвимостей нулевого дня. Одна из них, по данным ESET , эксплуатируется с марта 2023 года.

Исследование компании Socket раскрывает информацию о вредоносных пакетах NPM, распространяемых, предположительно, группировкой из Северной Кореи.
booking clickfix
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Взломают завтра? как математика предсказывает кибератаки

31 марта в 14:00 — SuperHardio Brothers* раскрывают, как превратить математическое моделирование времени атак в конкурентное преимущество вашей компании.

Реклама. АО «Позитив Текнолоджиз», ИНН 7718668887 *герои-эксперты харденинга