Σύνταξη: tourismtoday.gr

Μία καμπάνια phishing που υποδύεται την Booking.com και στοχεύει επιχειρήσεις διαμονής, εντόπισε η Microsoft Threat Intelligence.

Η καμπάνια -που βρίσκεται σε εξέλιξη από τον Φεβρουάριο- χρησιμοποιεί την τεχνική ClickFix για την παροχή πολλαπλών κακόβουλων προγραμμάτων που κλέβουν δεδομένα με σκοπό τη διεξαγωγή οικονομικής απάτης και κλοπής.

Η επίθεση phishing στοχεύει συγκεκριμένα άτομα σε εταιρείες φιλοξενίας στη Βόρεια Αμερική, την Ωκεανία, την Ασία και την Ευρώπη, που είναι πιο πιθανό να συνεργαστούν με την Booking.com, στέλνοντας πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου που υποτίθεται ότι προέρχονται από το πρακτορείο.

Στην τεχνική ClickFix, ένας παράγοντας απειλής προσπαθεί να εκμεταλλευτεί τις ανθρώπινες τάσεις επίλυσης προβλημάτων. Εμφανίζει πλαστά μηνύματα σφάλματος ή προτροπές καθοδηγόντας τους χρήστες-στόχους να διορθώσουν προβλήματα αντιγράφοντας, επικολλώντας και εκκινώντας εντολές που τελικά καταλήγουν στη λήψη κακόβουλου λογισμικού.

Αυτή η ανάγκη για αλληλεπίδραση με τον χρήστη θα μπορούσε να επιτρέψει σε μια επίθεση να περάσει μέσα από συμβατικά και αυτοματοποιημένα χαρακτηριστικά ασφαλείας.
Στην περίπτωση της καμπάνιας ηλεκτρονικού ψαρέματος, ζητείται από τον χρήστη να χρησιμοποιήσει μια συντόμευση πληκτρολογίου για να ανοίξει ένα παράθυρο Εκτέλεση των Windows και στη συνέχεια, να επικολλήσει και να εκκινήσει μια εντολή που προσθέτει η σελίδα ηλεκτρονικού ψαρέματος στο πρόχειρο.

Η Microsoft παρακολουθεί αυτήν την καμπάνια ως Storm-1865, ένα σύμπλεγμα δραστηριοτήτων που σχετίζεται με καμπάνιες ηλεκτρονικού ψαρέματος που οδηγεί σε κλοπή δεδομένων πληρωμών και δόλιες χρεώσεις.
Οι οργανισμοί μπορούν να μειώσουν τον αντίκτυπο των επιθέσεων phishing εκπαιδεύοντας τους χρήστες για την αναγνώριση τέτοιων απατών.

Τα χαρακτηριστικά της καμπάνιας phishing με ClickFix

Σε αυτήν την καμπάνια, το Storm-1865 προσδιορίζει οργανισμούς-στόχους στον τομέα της φιλοξενίας και στοχεύει άτομα σε αυτούς τους οργανισμούς που ενδέχεται να συνεργαστούν με την Booking.com.

Στη συνέχεια, το Storm-1865 στέλνει ένα κακόβουλο μήνυμα ηλεκτρονικού ταχυδρομείου που υποδύεται την Booking.com στο στοχευόμενο άτομο.
Το περιεχόμενο του μηνύματος ηλεκτρονικού ταχυδρομείου ποικίλλει πολύ, παραπέμποντας σε αρνητικές κριτικές επισκεπτών, αιτήματα από υποψήφιους επισκέπτες, ευκαιρίες διαδικτυακής προώθησης, επαλήθευση λογαριασμού και πολλά άλλα.

Στιγμιότυπο οθόνης ενός email
Ένα δείγμα ηλεκτρονικού ταχυδρομείου ηλεκτρονικού ψαρέματος, που υποτίθεται ότι προέρχεται από έναν υποψήφιο επισκέπτη
Στιγμιότυπο οθόνης μιας επικοινωνίας μαζί μας
Ένα άλλο δείγμα ηλεκτρονικού ταχυδρομείου ηλεκτρονικού ψαρέματος, που υποτίθεται ότι απαιτεί από τον παραλήπτη να απαντήσει σε αρνητικά σχόλια σχετικά με ένα ξενοδοχείο
Στιγμιότυπο οθόνης μιας ειδοποίησης ασφαλείας
Ένα άλλο δείγμα ηλεκτρονικού ταχυδρομείου ηλεκτρονικού ψαρέματος, που υποτίθεται ότι απαιτεί από τον παραλήπτη να επαληθεύσει τον λογαριασμό του στην Booking.com

Το μήνυμα ηλεκτρονικού ταχυδρομείου περιλαμβάνει έναν σύνδεσμο ή ένα συνημμένο PDF που περιέχει έναν, ο οποίος ισχυρίζεται ότι οδηγεί τους παραλήπτες στην Booking.com.
Κάνοντας κλικ στον σύνδεσμο οδηγεί σε μια ιστοσελίδα που εμφανίζει ένα ψεύτικο CAPTCHA με επικάλυψη σε ένα διακριτικά ορατό φόντο που έχει σχεδιαστεί για να μιμείται μια νόμιμη σελίδα της Booking.com.

Αυτή η ιστοσελίδα δίνει την ψευδαίσθηση ότι η Booking.com χρησιμοποιεί πρόσθετους ελέγχους επαλήθευσης, οι οποίοι ενδέχεται να δώσουν στον στοχευόμενο χρήστη μια ψευδή αίσθηση ασφάλειας και, επομένως, να αυξήσει τις πιθανότητές του να παραβιαστεί.

Το ψεύτικο CAPTCHA είναι όπου η ιστοσελίδα χρησιμοποιεί την τεχνική κοινωνικής μηχανικής ClickFix για τη λήψη του κακόβουλου ωφέλιμου φορτίου. Αυτή η τεχνική καθοδηγεί τον χρήστη να χρησιμοποιήσει μια συντόμευση πληκτρολογίου για να ανοίξει ένα παράθυρο Εκτέλεση των Windows, στη συνέχεια να επικολλήσει και να ξεκινήσει μια εντολή που προσθέτει η ιστοσελίδα στο πρόχειρο:

Στιγμιότυπο οθόνης υπολογιστή
Ένα στιγμιότυπο οθόνης της ψεύτικης ιστοσελίδας της Booking.com, με την ψεύτικη επικάλυψη CAPTCHA που περιγράφει τη διαδικασία ClickFix

Η εντολή κατεβάζει και εκκινεί κακόβουλο κώδικα μέσω του mshta.exe :

Ένα μαύρο γράμμα σε λευκό φόντο
Ένα παράδειγμα της εντολής mshta.exe που εκκινεί ο στοχευμένος χρήστης

Αυτή η καμπάνια παρέχει πολλές οικογένειες κακόβουλου λογισμικού εμπορευμάτων, συμπεριλαμβανομένων των XWorm, Lumma stealer, VenomRAT, AsyncRAT, Danabot και NetSupport RAT. Ανάλογα με το συγκεκριμένο ωφέλιμο φορτίο, ο συγκεκριμένος κώδικας που εκκινείται μέσω του mshta.exe ποικίλλει. Ορισμένα δείγματα έχουν λάβει περιεχόμενο PowerShell, JavaScript και φορητό εκτελέσιμο (PE).

Όλα αυτά τα ωφέλιμα φορτία περιλαμβάνουν δυνατότητες κλοπής οικονομικών δεδομένων και διαπιστευτηρίων για δόλια χρήση, κάτι που αποτελεί χαρακτηριστικό γνώρισμα της δραστηριότητας του Storm-1865. Το 2023, το Storm-1865 στόχευσε τους επισκέπτες του ξενοδοχείου που χρησιμοποιούν την Booking.com με παρόμοιες τεχνικές κοινωνικής μηχανικής και κακόβουλο λογισμικό.

Το 2024, το Storm-1865 στόχευσε αγοραστές που χρησιμοποιούν πλατφόρμες ηλεκτρονικού εμπορίου με μηνύματα ηλεκτρονικού ψαρέματος που οδηγούν σε δόλιες ιστοσελίδες πληρωμών.

Η προσθήκη του ClickFix στις τακτικές, τις τεχνικές και τις διαδικασίες (TTP) αυτού του παράγοντα απειλής δείχνει πώς το Storm-1865 εξελίσσει τις αλυσίδες επιθέσεων του για να προσπαθήσει να ξεφύγει από τα συμβατικά μέτρα ασφαλείας κατά του phishing και του κακόβουλου λογισμικού.

Ένα διάγραμμα ενός προγράμματος υπολογιστή
Διάγραμμα που απεικονίζει τα στάδια της διαδικασίας μόλυνσης σε αυτήν την εκστρατεία

Ο παράγοντας απειλής που παρακολουθεί η Microsoft ως Storm-1865 ενσωματώνει ένα σύμπλεγμα δραστηριοτήτων που διεξάγει εκστρατείες ηλεκτρονικού ψαρέματος, που οδηγεί σε κλοπή δεδομένων πληρωμών και δόλιες χρεώσεις.

Αυτές οι καμπάνιες συνεχίζονται με αυξημένο όγκο τουλάχιστον από τις αρχές του 2023 και περιλαμβάνουν μηνύματα που αποστέλλονται μέσω πλατφορμών προμηθευτών, όπως διαδικτυακά ταξιδιωτικά γραφεία και πλατφόρμες ηλεκτρονικού εμπορίου και υπηρεσίες email, όπως το Gmail ή το iCloud Mail.

Πώς θα προστατευθείτε από το phishing

Οι χρήστες μπορούν να ακολουθήσουν τις παρακάτω προτάσεις για να εντοπίσουν τη δραστηριότητα phishing. Οι οργανισμοί μπορούν να μειώσουν τον αντίκτυπο των επιθέσεων phishing εκπαιδεύοντας τους χρήστες να αναγνωρίζουν αυτές τις απάτες.

  • Ελέγξτε τη διεύθυνση email του αποστολέα για να βεβαιωθείτε ότι είναι νόμιμη: Αξιολογήστε εάν ο αποστολέας έχει κατηγοριοποιηθεί ως πρώτος, σπάνιος ή επισημασμένος ως “εξωτερικός” από τον πάροχο email σας. Τοποθετήστε το δείκτη του ποντικιού πάνω από τη διεύθυνση για να βεβαιωθείτε ότι η πλήρης διεύθυνση είναι νόμιμη.
    Λάβετε υπόψη ότι οι νόμιμοι οργανισμοί δεν στέλνουν αυτόκλητα μηνύματα ηλεκτρονικού ταχυδρομείου ή δεν πραγματοποιούν αυτόκλητες τηλεφωνικές κλήσεις για να ζητήσουν προσωπικές ή οικονομικές πληροφορίες. Να πλοηγείστε πάντα απευθείας σε αυτούς τους οργανισμούς για να συνδεθείτε στον λογαριασμό σας.
  • Επικοινωνήστε απευθείας με τον πάροχο υπηρεσιών: Εάν λάβετε ένα ύποπτο email ή μήνυμα, επικοινωνήστε απευθείας με τον πάροχο υπηρεσιών χρησιμοποιώντας τις επίσημες φόρμες επικοινωνίας που αναφέρονται στον επίσημο ιστότοπο.
  • Να είστε προσεκτικοί με επείγουσες εκκλήσεις για δράση ή απειλές: Να είστε προσεκτικοί με τις ειδοποιήσεις μέσω email που σας ζητούν να κάνετε κλικ, να καλέσετε ή να ανοίξετε αμέσως ένα συνημμένο.
    Οι επιθέσεις ηλεκτρονικού “ψαρέματος” και οι απάτες συχνά δημιουργούν μια ψευδή αίσθηση επείγοντος για να εξαπατήσουν τους στόχους ώστε να ενεργήσουν χωρίς να εξεταστεί πρώτα η νομιμότητα του μηνύματος.
  • Τοποθετήστε το δείκτη του ποντικιού πάνω από συνδέσμους για να παρατηρήσετε την πλήρη διεύθυνση URL: Μερικές φορές, κακόβουλοι σύνδεσμοι ενσωματώνονται σε ένα email για να εξαπατήσουν τον παραλήπτη. Απλώς κάνοντας κλικ στον σύνδεσμο θα μπορούσε να επιτρέψει σε έναν παράγοντα απειλής να κατεβάσει κακόβουλο λογισμικό στη συσκευή σας.
    Πριν κάνετε κλικ σε έναν σύνδεσμο, βεβαιωθείτε ότι η πλήρης διεύθυνση URL είναι νόμιμη. Για βέλτιστη πρακτική, αντί να ακολουθήσετε έναν σύνδεσμο από ένα email, αναζητήστε τον ιστότοπο της εταιρείας απευθείας στο πρόγραμμα περιήγησής σας και πλοηγηθείτε από εκεί.
  • Αναζήτηση για τυπογραφικά λάθη: Τα μηνύματα ηλεκτρονικού “ψαρέματος” συχνά περιέχουν τυπογραφικά λάθη, συμπεριλαμβανομένου του κύριου μέρους του μηνύματος ηλεκτρονικού ταχυδρομείου, υποδεικνύοντας ότι ο αποστολέας δεν είναι νόμιμη, επαγγελματική πηγή ή εντός του τομέα ή της διεύθυνσης URL του ηλεκτρονικού ταχυδρομείου, όπως αναφέρθηκε προηγουμένως.
    Οι εταιρείες σπάνια στέλνουν μηνύματα χωρίς διόρθωση περιεχομένου, επομένως πολλά ορθογραφικά και γραμματικά λάθη μπορεί να σηματοδοτούν ένα μήνυμα απάτης. Επιπλέον, ελέγξτε για πολύ ανεπαίσθητα ορθογραφικά λάθη των νόμιμων τομέων, μια τεχνική γνωστή ως typosquatting. Για παράδειγμα, μπορεί να δείτε micros0ft(.)com , όπου το δεύτερο o έχει αντικατασταθεί από 0 , ή rnicrosoft(.)com , όπου το m έχει αντικατασταθεί από r και n.

Μέτρα για τη μείωση του αντίκτυπου αυτής της απειλής

  • Αναπτύξτε μεθόδους ελέγχου ταυτότητας ανθεκτικές στο phishing για τους χρήστες.
  • Επιβολή ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) σε όλους τους λογαριασμούς, καταργήστε χρήστες που εξαιρούνται από το MFA και απαιτήστε αυστηρά MFA από όλες τις συσκευές σε όλες τις τοποθεσίες ανά πάσα στιγμή.
  • Ρυθμίστε τις παραμέτρους του Microsoft Defender για το Office 365 για να ελέγχει ξανά τους συνδέσμους όταν κάνετε κλικ. Το Safe Links παρέχει σάρωση και επανεγγραφή διευθύνσεων URL εισερχόμενων μηνυμάτων email στη ροή αλληλογραφίας και επαλήθευση χρόνου-κλικ των URL και συνδέσμων σε μηνύματα email, σε άλλες εφαρμογές του Microsoft 365, όπως το Teams, και σε άλλες τοποθεσίες όπως το SharePoint Online. Η σάρωση ασφαλών συνδέσμων πραγματοποιείται εκτός από την κανονική προστασία κατά των ανεπιθύμητων μηνυμάτων και του κακόβουλου λογισμικού στα εισερχόμενα μηνύματα ηλεκτρονικού ταχυδρομείου στο Microsoft Exchange Online Protection (EOP). Η σάρωση ασφαλών συνδέσμων μπορεί να βοηθήσει στην προστασία του οργανισμού σας από κακόβουλους συνδέσμους που χρησιμοποιούνται στο ηλεκτρονικό ψάρεμα και άλλες επιθέσεις.
  • Ενθαρρύνετε τους χρήστες να χρησιμοποιούν το Microsoft Edge και άλλα προγράμματα περιήγησης ιστού που υποστηρίζουν το Microsoft Defender SmartScreen , το οποίο εντοπίζει και αποκλείει κακόβουλους ιστότοπους, συμπεριλαμβανομένων τοποθεσιών ηλεκτρονικού ψαρέματος, τοποθεσιών απάτης και τοποθεσιών που φιλοξενούν κακόβουλο λογισμικό.
  • Ενεργοποιήστε την προστασία που παρέχεται από το cloud στο Microsoft Defender Antivirus ή το αντίστοιχο για το προϊόν προστασίας από ιούς για να καλύψετε τα ταχέως εξελισσόμενα εργαλεία και τεχνικές επίθεσης. Οι προστασίες μηχανικής εκμάθησης που βασίζονται σε σύννεφο αποκλείουν την πλειοψηφία νέων και άγνωστων παραλλαγών.
  • Ενεργοποιήστε την προστασία δικτύου για να αποτρέψετε την πρόσβαση εφαρμογών ή χρηστών σε κακόβουλους τομείς και άλλο κακόβουλο περιεχόμενο στο Διαδίκτυο.
  • Ενεργοποιήστε τη διερεύνηση και την αποκατάσταση σε πλήρως αυτοματοποιημένη λειτουργία για να επιτρέψετε στο Microsoft Defender για Endpoint να λάβει άμεσα μέτρα σε ειδοποιήσεις για την επίλυση παραβιάσεων, μειώνοντας σημαντικά τον όγκο ειδοποιήσεων.
  • Ενεργοποιήστε την αυτόματη εκκαθάριση μηδενικής ώρας (ZAP) στο Office 365 για να θέσετε σε καραντίνα την απεσταλμένη αλληλογραφία ως απάντηση σε νέα πληροφορία απειλών και να εξουδετερώσετε αναδρομικά κακόβουλα μηνύματα ηλεκτρονικού ψαρέματος (phishing), ανεπιθύμητης αλληλογραφίας ή κακόβουλου λογισμικού που έχουν ήδη παραδοθεί σε γραμματοκιβώτια.

ΠΑΡΟΜΟΙΑ ΑΡΘΡΑΠΕΡΙΣΣΟΤΕΡΑ ΑΠΟ ΤΟΝ ΔΗΜΙΟΥΡΓΟ