Chiến dịch lừa đảo tinh vi này được cho là bắt đầu diễn ra từ tháng 12.2024 và kéo dài đến tháng 2.2025 nhằm vào những người làm việc trong ngành dịch vụ khách sạn tại Bắc Mỹ, Đông Nam Á và châu Âu. Những kẻ tấn công đang lợi dụng mối quan hệ của nhân viên với Booking.com, đặc biệt là những người thường xuyên mở email từ nền tảng du lịch này.
Theo báo cáo mới nhất từ Microsoft, chiến dịch này sử dụng một kỹ thuật gọi là "ClickFix". Kẻ lừa đảo tạo ra các thông báo lỗi giả mạo để đánh lừa người dùng, khuyến khích họ thực hiện các thao tác như sao chép, dán và chạy lệnh trên máy tính, từ đó tải xuống phần mềm độc hại. Microsoft cảnh báo "nhu cầu tương tác của người dùng có thể giúp các cuộc tấn công này vượt qua các biện pháp bảo mật thông thường".
Cụ thể, người dùng được yêu cầu sử dụng phím tắt để mở cửa sổ Windows Run, sau đó dán và chạy lệnh mà trang lừa đảo cung cấp. Các nhà nghiên cứu đã xác định Storm-1865 là nhóm tội phạm đứng sau chiến dịch này. Đây là nhóm đã thực hiện nhiều cuộc tấn công lừa đảo khác nhằm đánh cắp dữ liệu thanh toán và thực hiện các giao dịch gian lận.
Các email độc hại thường chứa nội dung liên quan đến đánh giá không tốt từ khách hàng, yêu cầu xác minh tài khoản hoặc thông tin từ khách hàng tiềm năng. Hầu hết các email đều có liên kết hoặc tệp đính kèm PDF dẫn đến một trang CAPTCHA giả mạo, nơi kẻ tấn công triển khai chương trình ClickFix. Khi nạn nhân nhấp vào liên kết, phần mềm độc hại sẽ được tải xuống thiết bị của họ.
Microsoft đã phát hiện nhiều loại phần mềm độc hại khác nhau được sử dụng trong các cuộc tấn công này, bao gồm XWorm, Lumma stealer, VenomRAT, AsyncRAT, Danabot và NetSupport RAT, tất cả đều cho phép tin tặc đánh cắp thông tin tài chính và thông tin đăng nhập.
Phản ứng của Booking.com
Đại diện của Booking.com cho biết số lượng chỗ nghỉ bị ảnh hưởng bởi trò lừa đảo này chỉ là một phần nhỏ so với tổng số trên nền tảng của họ. Công ty đã đầu tư đáng kể để giảm thiểu tác động đối với khách hàng và đối tác. Họ khẳng định hệ thống của Booking.com không bị xâm phạm, nhưng một số đối tác và khách hàng đã trở thành nạn nhân của các cuộc tấn công lừa đảo.
Microsoft cũng lưu ý rằng Storm-1865 từng nhắm vào khách lưu trú tại khách sạn vào năm 2023 và đã tăng cường các cuộc tấn công kể từ đầu năm 2023. Công ty khuyến cáo nhân viên khách sạn nên kiểm tra kỹ địa chỉ email của người gửi, chú ý đến lỗi chính tả trong email và luôn cảnh giác với bất kỳ tin nhắn nào yêu cầu họ thực hiện hành động.
Theo Kiến Văn (TNO)