L’utilizzo di marchi famosi è un po’ la base di partenza di ogni campagna di phishing o ransomware, per le quali gli hacker “impacchettano” messaggi mail contenenti link o documenti che, dopo essere stati aperti o scaricati e dopo aver effettuato una serie di operazioni portano alla perdita di dati di ogni tipo o ad altri danni. Nei giorni scorsi è stata segnalata proprio una di queste campagne, ai danni del marchio Booking.Com ed ai suoi clienti e partner, durante la quale sono stati inviati messaggi utilizzando l’ingegneria sociale per capire meglio dove andare a mirare. La minaccia, chiamata ClickFix, ha iniziato a diffondersi alla fine del 2024 e viene perpetrata ancora oggi verso hotel ed altri operatori turistici di ogni tipo che utilizzano Booking per le loro prenotazioni.
L’obiettivo principale è entrare nei profili delle vittime per poi trafugare dati di pagamento ed altri dati dei clienti, anche per continuare ad inviare altri messaggi, nei quali viene semplicemente notificato per finta che sono presenti errori come tentativi di accesso ai profili, per cui si richiede di effettuare alcune verifiche. Ovviamente attivando queste attività di correzione si incappa in PowerShell dannose, o altri strumenti similari, che portano all’installazione di malware di vario tipo, che garantiscono accesso remoto agli hacker mettendo a repentaglio i device Windows ma anche quelli Mac. Questo genere di campagna ormai viene sfruttata da diversi gruppi, che inseriscono dei captcha malevoli per portare, appunto, al “click” che scatena poi l’infezione, da qui il nome della minaccia. Microsoft ha notato una di queste campagne nelle quali vengono mandate email da finti clienti delle strutture o delle agenzie nelle quali vengono richieste informazioni su recensioni oppure in forma di notifica da parte di Booking stesso su alcune irregolarità nel profilo. Ovviamente a corollario di tutto c’è l’invito a verificare facendo clic su un tasto presente nel testo oppure a scaricare un file PDF.
Sia nel caso del documento che in quello del pulsante, l’utente visualizzerà un captcha, esattamente con lo stesso scopo di quello che abbiamo detto in precedenza su ClickFix, ovvero fare apparire alcune istruzioni dopo il click che, senza farlo vedere alla vittima, consentirebbero di aprire la finestra Esegui inserendovi dentro un comando, ovviamente malevolo. Il comando porta all’installazione di diverse possibili famiglie di malware come trojan e infostealers (ad esempio Lumma Stealer, VenomRAT ed altri). Questi agenti malevoli possono ovviamente portare al furto di diversi dati, come spiegato in precedenza. In un aggiornamento del 14 marzo, Booking ha spiegato che ha recepito la segnalazione fatta da Microsoft su questa campagna, dicendo però che i suoi sistemi non sono stati ovviamente violati e che si tratta dell’iniziativa degli hacker che vogliono impossessarsi dei dati di singoli clienti. Il resto della dichiarazione riguarda ovviamente le best practices dell’azienda, che non notifica determinati aspetti via email e soprattutto non chiede di effettuare pagamenti con quel mezzo. Ovviamente l’azienda di prenotazione di strutture si rende anche disponibile a chiarimenti se qualche cliente riceve messaggi dei quali non è convinto.
Da par nostro, invece, continuiamo a ripetere che è sempre importante verificare bene gli indirizzi email dei mittenti di questi messaggi, che molto spesso svelano già il possibile “arcano”. Oltretutto è corretto dire anche che ciò che dice Booking.Com, ovvero che le richieste di pagamento o di verifica dell’identità non vengono mai inviate dai loro sistemi, vale per molte delle aziende più importanti il cui nome viene sfruttato per inviare email fasulle.
Fonte: 1
