Người dùng Booking.com đang trở thành mục tiêu của một chiến dịch lừa đảo phishing mới, được thiết kế tinh vi nhằm đánh cắp dữ liệu cá nhân, thông tin đăng nhập và nhiều hơn nữa. Microsoft Threat Intelligence đã phát hiện cuộc tấn công đang diễn ra này nhắm vào người dùng và các tổ chức khách sạn trên toàn thế giới, tuy nhiên vẫn có những dấu hiệu rõ ràng để nhận biết và phòng tránh.
Chi tiết Chiến dịch Phishing Booking.com Mới nhất
Microsoft Threat Intelligence đã lần đầu tiên phát hiện chiến dịch phishing Booking.com này vào tháng 12 năm 2024, nhưng nó vẫn đang hoạt động mạnh mẽ và gây ra thiệt hại cho nhiều nạn nhân từ khắp các quốc gia. Chiến dịch này sử dụng một kỹ thuật kỹ thuật xã hội đặc biệt được gọi là ClickFix, về cơ bản lừa người dùng nhấp qua các thông báo lỗi để thực thi các lệnh tải xuống mã độc.
Kỹ thuật ClickFix Nguy hiểm
Trong kỹ thuật ClickFix, kẻ tấn công mạng cố gắng lợi dụng xu hướng giải quyết vấn đề của con người bằng cách hiển thị các thông báo lỗi hoặc lời nhắc giả mạo. Các thông báo này hướng dẫn người dùng “khắc phục sự cố” bằng cách sao chép, dán và khởi chạy các lệnh, cuối cùng dẫn đến việc tải xuống phần mềm độc hại. Chiến dịch này không quá khác biệt so với các cuộc tấn công phishing thông thường, nạn nhân nhận được một email có vẻ như đến từ Booking.com, chứa một liên kết độc hại hoặc một liên kết được nhúng trong tệp PDF, được cho là đưa người dùng đến trang web để giải quyết vấn đề.
Sơ đồ chuỗi lây nhiễm trong chiến dịch lừa đảo Booking.com qua phishing
Điểm khác biệt của chiến dịch này nằm ở những gì xảy ra khi bạn nhấp vào liên kết. Thay vì ngay lập tức tải xuống phần mềm độc hại, bạn sẽ được đưa đến một trang CAPTCHA giả mạo để “xác minh” danh tính. CAPTCHA này hướng dẫn bạn mở cửa sổ Windows Run, sau đó nhập lệnh mà kẻ lừa đảo cung cấp. Lệnh này sẽ tự động được sao chép vào bộ nhớ tạm của bạn ngay khi cửa sổ CAPTCHA xuất hiện. Đồng thời, hướng dẫn sẽ giải thích cách nhấn phím tắt Windows + R để mở cửa sổ Run, dán lệnh bằng phím tắt Ctrl + V, và cuối cùng chạy lệnh bằng cách nhấn Enter.
Việc yêu cầu tương tác của người dùng như vậy đảm bảo rằng payload độc hại có thể lách qua các tính năng bảo mật như chương trình diệt virus, tường lửa và các biện pháp bảo vệ tự động khác.
Các loại Mã độc được Phát tán
Lệnh được thực thi sẽ tải xuống và chạy payload độc hại chính – phần mềm độc hại có khả năng đánh cắp dữ liệu tài chính và thông tin đăng nhập. Payload này chứa nhiều loại phần mềm độc hại khác nhau, bao gồm XWorm, Lumma Stealer, VenomRAT, AsyncRAT, Danabot và NetSupport RAT, tất cả đều có khả năng gây ra thiệt hại nghiêm trọng.
Ví dụ về trang CAPTCHA giả mạo dùng để phát tán mã độc trong chiến dịch phishing Booking.com
Lời khuyên Phòng tránh Lừa đảo Booking.com
Đây không phải là lần đầu tiên Booking.com trở thành mục tiêu của các vụ lừa đảo phishing. Vào năm 2024, vụ lừa đảo Telekopye nhắm vào Booking.com cũng đã khiến hàng ngàn du khách không nghi ngờ trở thành nạn nhân.
Vì vậy, trước khi nhấp vào bất kỳ liên kết nào trong email, hãy luôn xác minh địa chỉ email của người gửi. Trong hầu hết các trường hợp, email lừa đảo sẽ không có địa chỉ chính thức của công ty. Cách an toàn nhất là bạn có thể truy cập trực tiếp trang web của Booking.com và tiến hành giải quyết vấn đề của mình tại đó bằng cách liên hệ trực tiếp với công ty.
Việc tội phạm mạng sử dụng CAPTCHA để phát tán mã độc cũng không phải là điều mới lạ. Hãy nhớ rằng, CAPTCHA chỉ là các bài kiểm tra đơn giản để xác minh bạn có phải là con người hay không. Nếu một CAPTCHA đang nhắc bạn chạy một lệnh hoặc mở bất kỳ cửa sổ nào, đó chắc chắn là một trang web độc hại và bạn cần ngay lập tức đóng nó lại. Luôn cảnh giác và xác minh kỹ lưỡng để bảo vệ thông tin cá nhân của bạn trên không gian mạng.
Tài liệu tham khảo:
