Кибератака через буфер обмена компрометирует гостиничные сети мира

С декабря 2024 года, накануне одного из самых загруженных периодов путешествий, Microsoft Threat Intelligence зафиксировала масштабную фишинговую кампанию , имитирующую популярное агентство бронирования Booking.com. Основной целью злоумышленников стали организации, работающие в гостиничном бизнесе. Используя метод социальной инженерии ClickFix, атакующие распространяют вредоносное ПО, похищают учётные данные и совершают финансовые махинации.

Фишинговые письма рассылались сотрудникам гостиничного бизнеса в Северной Америке, Океании, Южной и Юго-Восточной Азии, а также во всех регионах Европы. Атакующие отправляли поддельные сообщения от имени Booking.com, используя разнообразные предлоги: негативные отзывы гостей, запросы на бронирование, предложения по онлайн-продвижению, подтверждение учётной записи и прочее.

Главная особенность этой атаки — применение метода ClickFix, который эксплуатирует естественное стремление человека решать проблемы. Злоумышленники создают поддельные страницы с ошибками или предупреждениями, побуждая жертву ввести команду в системное окно «Выполнить». Эта команда, добавленная в буфер обмена, приводит к загрузке и запуску вредоносного ПО через «mshta.exe». Такой подход позволяет обойти автоматические системы защиты, поскольку атака требует непосредственного взаимодействия пользователя.

Эксперты Microsoft отслеживают актора этих вредоносных действий под кодовым названием Storm-1865. В своих атаках хакеры задействуют множество типов вредоносных программ, включая XWorm, Lumma Stealer, VenomRAT, AsyncRAT, Danabot и NetSupport RAT. Эти инструменты предназначены для кражи финансовых данных и учётных записей, что соответствует предыдущей активности группы.

В 2023 году Storm-1865 уже использовала похожие методы для атаки на клиентов Booking.com, а в 2024 году переключилась на фишинговые схемы в сфере электронной коммерции. Теперь же применяемая ими методика ClickFix свидетельствует о развитии их тактик и попытках обхода традиционных систем защиты.

Чтобы минимизировать риски фишинговых атак, Microsoft рекомендует организациям обучать сотрудников распознавать мошеннические письма. Важные признаки таких атак включают подозрительные адреса отправителей, неожиданные запросы, ссылки с поддельными доменами и орфографические ошибки. Проверка URL-адресов перед переходом и обращение к сервису напрямую через официальный сайт помогут избежать компрометации.

Технические меры защиты включают многофакторную аутентификацию, использование антивирусов с облачными механизмами обнаружения, блокировку потенциально опасных скриптов, а также включение защиты SmartScreen в браузере. Администраторам рекомендуется активировать Zero-hour Auto Purge (ZAP) в Office 365 для удаления уже доставленных вредоносных писем и применять политику безопасного выполнения кода в корпоративной среде.

Для пользователей Microsoft Defender XDR доступны дополнительные механизмы выявления и блокировки таких атак. Microsoft также рекомендует активировать полное автоматическое расследование и устранение угроз, что позволит мгновенно нейтрализовать атаки, значительно сокращая объём инцидентов.

Фишинговая кампания Storm-1865 демонстрирует эволюцию мошеннических схем и необходимость постоянного совершенствования средств защиты. Компании, работающие в сфере гостиничного бизнеса и других отраслях, должны повышать осведомлённость сотрудников о современных угрозах и внедрять комплексные меры кибербезопасности для предотвращения компрометации.