Impersonificazione di Booking.com
24 febbraio 2025
Cosa imparerai in questa notifica
- Mirato al settore dell'ospitalità prevalentemente nel Regno Unito
- L'operazione impiega la tecnica “Clickfix” per aumentarne l'efficacia.
- Il malware associato a queste campagne è stato identificato come LummaC, un infostealer comune.
I ricercatori di minacce di Mimecast hanno osservato una campagna di malware che utilizza Sendinblue (ora Brevo) per la distribuzione. Brevo è una piattaforma di marketing tutto-in-uno che offre email, SMS, automazione e strumenti CRM per il coinvolgimento dei clienti. Le campagne si concentrano sull'uso di esche legate a problemi di prenotazione per ingannare gli utenti a cliccare su link che sembrano provenire da booking.com. Tuttavia, questi link utilizzano il servizio di reindirizzamento Sendinblue/Brevo per tracciare i clic e reindirizzare a siti dannosi di proprietà dell'operazione di minaccia. Poiché la maggior parte degli utenti accede a siti web personali su dispositivi aziendali, diventa importante evidenziare come i servizi personali vengano utilizzati per prendere di mira i dispositivi aziendali.
Una volta reindirizzato, l'utente vede la pagina CAPTCHA sottostante che contiene istruzioni per copiare e incollare i comandi negli appunti, come parte di un passaggio di verifica da utilizzare nel prompt dei comandi.
Una volta che l'utente esegue il comando, verrà scaricato un infostealer; in questo caso, il malware identificato è stato LummaC, che di solito prende di mira credenziali, dati del browser e portafogli di criptovalute.
Questa campagna, utilizzando Brevo come metodo di distribuzione e reindirizzamento, è stata osservata per la prima volta all'inizio di gennaio con volumi bassi e ha registrato un aumento significativo a metà e fine gennaio. Poiché gli obiettivi erano hotel, catene alberghiere, resort, ecc., ciò è coerente con il fatto che le persone prenotano le vacanze per l'anno successivo in anticipo per essere preparate.
Protezione Mimecast
Abbiamo identificato diversi elementi nelle campagne che sono stati aggiunti alle nostre capacità di rilevamento.
Obiettivi:
Regno Unito, settore dell'ospitalità
Indicatori di compromissione
URL’s
admin-booking-service[.]com
adminbokingcapha64578[.]com
booking[.]parner-id-010101743[.]com
commentsvisitor58100[.]world
commentsvisitor589360[.]world
concernguest68549[.]com
concernguest74549[.]com
feedbackguest485100[.]world
feedbackguest485121[.]world
feedbackguest48594821[.]world
feedbackguest84560[.]world
feedbackpage91293[.]world
issueguest423239[.]world
issueguest495139[.]world
parner-id-010101743[.]com
parner-id1501202500[.]com
reportguest4893921[.]world
reportguest4895921[.]world
roomsattendes999923[.]world
roomsvisitor9934224[.]world
Tattiche, tecniche e procedure
T1566.002: phishing: link di spear phishing
T1585.002: creare account: account di posta elettronica
T1204.002: esecuzione da parte dell'utente: file dannoso
T1059.003: interprete di comandi e script: Windows Command Shell
T1547.001: esecuzione automatica all'avvio o all'accesso: chiavi di esecuzione del registro / cartella di avvio
T1027: file o informazioni offuscate
T1202: esecuzione indiretta di comandi
T1555: credenziali dagli archivi di password
T1083: scoperta di file e directory
T1518.001: individuazione del software: individuazione del software di sicurezza
T1113: acquisizione dello schermo
Raccomandazioni
- Assicurati di avere configurato una politica di URL Protect per proteggere l'organizzazione.
- Controlla i registri delle ricevute delle email per verificare se gli hash dei file sono stati recapitati ai tuoi utenti.
- Educa gli utenti finali su come evitare l'esecuzione di comandi all'interno di un prompt dei comandi.