伪造Booking.com的电子邮件通过虚假验证码诱骗酒店工作人员运行AsyncRAT恶意软件,针对具有远程访问木马的系统。
一项新的网络钓鱼活动正在针对酒店工作人员,使用假的Booking.com电子邮件,诱使受害者在自己的系统上执行恶意命令。该诈骗似乎计划周密,结合了社会工程学,最终目的是通过 AsyncRAT 感染和控制酒店网络。
一切始于一封有说服力的电子邮件
攻击以一封看似来自Booking.com的邮件开始。邮件声称有客人留下了重要的个人物品,并敦促酒店经理点击一个标有“查看客人信息”的按钮。
这封电子邮件礼貌、紧急,并且设计得看起来很合法,典型的社交工程学尝试,旨在诱使人们在不思考的情况下点击。
一个虚假的验证码隐藏了真正的威胁
点击链接将用户带到一个看起来像Booking.com的网站,托管于:booking.partlet-id739847.com。页面最初会显示一个验证码,要求访客确认他们不是机器人。
勾选框后,用户会看到更加可疑的东西——一组指示他们按WIN + R(以打开Windows运行对话框),接着按CTRL + V和Enter。这个技巧使用剪贴板来传递和执行一个隐藏的命令。
幕后:AsyncRAT
对这种诈骗中传播的恶意软件的安全分析表明,这是AsyncRAT,一种远程访问木马。自2019年下半年以来,这种恶意软件一直很活跃,并且由于其开源和高度可定制的特性,在网络犯罪分子中变得越来越受欢迎。
AsyncRAT 能够执行以下操作:
键盘记录
远程桌面查看
文件访问和数据盗窃
安装额外的有效载荷
对受感染系统进行持续控制
AsyncRAT在过去几年中被积极用于网络攻击。2021年5月,微软观察到AsyncRAT针对航空航天和旅游组织。到2021年11月,安全研究人员发现它与其他恶意软件家族一起分发,以感染系统并窃取加密货币。
2023年6月,网络安全公司eSentire报告了一种名为DcRAT的新变种,该变种被嵌入在OnlyFans相关的内容中,是重命名的AsyncRAT版本。然后在2024年1月,这种恶意软件被发现针对美国的基础设施,这次使用了恶意GIF和SVG文件来传递有效负载。
该恶意软件通过 MSBuild.exe 运行,这是一款合法的 Windows 工具,帮助它逃避一些杀毒软件的检测。它把自己安装到 %AppData% 目录,并通过端口 185.39.17.70 与 8848 的命令和控制服务器进行通信。
为什么这个网络钓鱼诈骗如此狡猾
与旨在窃取密码的基本网络钓鱼活动不同,这次活动要深入得多。它引导用户手动执行恶意软件,这是一种巧妙的绕过安全限制和避免触发下载的方法。
如果成功,攻击者将获得对酒店系统的完全远程访问权限,从而危及客户数据、预订信息和付款记录的安全。
酒店和员工的小贴士
切勿点击垃圾邮件中的链接,即使它们看起来很官方。
不要根据电子邮件或网站上的指示运行命令,特别是涉及Windows运行对话框的任何命令。
检查域名,真正的Booking.com链接不会包含额外的子域名,例如partlet-id739847.
通过Booking.com的官方合作伙伴支持渠道直接报告可疑消息。
这次活动只是证明了钓鱼攻击如何通过结合逼真的品牌标识和恶意软件执行策略成为一种威胁的又一个例子。酒店经理和员工应保持警惕,对任何涉及客人数据的意外电子邮件都要谨慎处理。电子邮件。
素材:翻译自:hackread
新型钓鱼攻击:仿冒Booking.com验证码传播AsyncRAT远程木马
发布日期:2025-04-26
领取优惠
提交成功!