ClickFix攻撃、Booking.comの偽メールに情報窃盗犯やRATを紛れ込ませる

Booking

マイクロソフトは、Booking.com になりすました現在進行中のフィッシングキャンペーンが、ClickFix のソーシャルエンジニアリング攻撃を利用して、情報窃取やRATを含む様々なマルウェアに接客業の従業員を感染させていると警告している。

このキャンペーンは2024年12月に開始され、現在も続いており、ホテル、旅行代理店、その他Booking.comを予約に利用している企業などのホスピタリティ組織の従業員を標的としています。

脅威行為者の目的は、Booking.comのプラットフォーム上で従業員のアカウントを乗っ取り、顧客の支払いに関する詳細や個人情報を盗み出し、その情報を利用してさらなる攻撃を仕掛ける可能性があることです。

このキャンペーンを発見したマイクロソフトのセキュリティ研究者は、この活動を「Storm-1865」として追跡している脅威グループによるものだとしている。

Table of contents

クリックフィックスとBooking.comの出会い
攻撃の93%を支えるMITRE ATT&CK©テクニック・トップ10

クリックフィックスとBooking.comの出会い

ClickFixは比較的新しいソーシャル・エンジニアリング攻撃で、ウェブサイトやフィッシング文書に偽のエラーを表示し、コンテンツを閲覧するために「修正」「キャプチャ」を実行するようユーザーに促す。

しかし、これらの偽の修正は、実際には悪意のあるPowerShellやその他の悪意のあるコマンドであり、WindowsやMacのデバイス上に情報窃取マルウェアやリモートアクセス型トロイの木馬をダウンロードし、インストールします。

この種の攻撃は、ランサムウェア・ギャングや北朝鮮のハッカーなど、さまざまな脅威行為者によって使用され、ますます一般的になってきている。

Microsoftが発見したフィッシングキャンペーンでは、脅威行為者は、Booking.comの否定的なレビュー、見込み顧客からの依頼、アカウント確認のアラートなどについて、宿泊客になりすまして電子メールを送信しています。

Email sent to targets — **ターゲットに送信された電子メール**
*マイクロソフト*

これらのメールには、リンクを含むPDF添付ファイルまたは埋め込みボタンが含まれており、いずれも被害者を偽のCAPTCHAページに誘導します。

クリックフィックスのキャンペーンに偽のCAPTCHAを使用することで、受信者の警戒心を解き、合法的なプロセスであるかのように見せかけることができます。

悪意のあるCAPTCHAを解くと、隠されたmshta.exeコマンドがWindowsのクリップボードにコピーされ、「人間による検証」プロセスが実行されます。ターゲットは、Windowsの「ファイル名を指定して実行」コマンドを開き、クリップボードの内容を「ファイル名を指定して実行」フィールドに貼り付けて実行することで、この検証を行うように指示される。

Malicious CAPTCHA page — **悪意のある CAPTCHA ページ**
*ソースはこちら：マイクロソフト*

被害者は、クリップボードにコピーされた内容ではなく、キーボードショートカットを見るだけなので、システム上でコマンドを実行しようとしていることが分からない。そのため、コンピュータの使用経験が少ない人は、この罠にかかる可能性が高い。

このキャンペーンでは、コピーされたコードは攻撃者のサーバー上で悪意のあるHTMLファイル[VirusTotal]を実行するmshta.exeであるとマイクロソフトは述べている。

Malicious 'mshta' command copied to Windows clipboard — **Windows のクリップボードにコピーされた悪意のある「mshta」コマンド**
*ソースはこちら：マイクロソフト*

このコマンドを実行すると、XWorm、Lumma stealer、VenomRAT、AsyncRAT、Danabot、NetSupport RATなど、さまざまなリモートアクセス型トロイの木馬や情報窃取マルウェアがダウンロードされ、インストールされます。

「特定のペイロードによって、mshta.exeを介して起動されるコードは異なります。

「いくつかのサンプルは、PowerShell、JavaScript、およびポータブル実行可能ファイル（PE）コンテンツをダウンロードしている。

“これらのペイロードはすべて、Storm-1865の活動の特徴である、不正使用のための財務データや認証情報を盗む機能を含んでいます。”

Overview of the Storm-1865 ClickFix attack — **Storm-1865 ClickFix 攻撃の概要**
*ソースはこちら：マイクロソフト*

このような攻撃から身を守るために、マイクロソフトでは、送信者のアドレスの正当性を常に確認すること、緊急の呼びかけがあった場合は特に注意すること、詐欺師を見破る可能性のあるタイプミスを探すことを推奨している。

また、Booking.comのアカウント・ステータスや保留中のアラートについては、電子メールからのリンクをたどるのではなく、同プラットフォームに独自にログインして確認することをお勧めする。

更新 3/14– マイクロソフトが確認したClickFixキャンペーンに関して、Booking.comの広報担当者から以下のコメントが届きました。

残念ながら、犯罪組織によるフィッシング攻撃は多くの業界に大きな脅威をもたらしています。Booking.comのシステムが侵害されていないことは確認できましたが、残念ながら、一部の宿泊施設パートナーおよびお客様が、マルウェアを使用してローカルのコンピュータシステムを乗っ取るという犯罪目的で、プロの犯罪者によって送信されたフィッシング攻撃の影響を受けていることを認識しています。

この詐欺の被害に遭われた宿泊施設の実際の数は、弊社のプラットフォームをご利用いただいている宿泊施設のごく一部であり、弊社ではお客様やパートナー様への影響を最小限に抑えるため、引き続き多大な投資を行っております。

当社はまた、宿泊施設のパートナーやお客様が保護された状態を維持できるよう、積極的な支援に取り組んでいます。また、このような脅威に対する防御を強化するため、パートナーに継続的なサイバーセキュリティ教育とリソースを提供しています。

お支払いに関するメッセージにご心配があるお客様には、ご予約確認書に記載されているお支払いに関する規約の詳細を注意深くご確認いただき、メッセージが正当なものであることをご確認ください。また、不審なメッセージについては、年中無休のカスタマーサービスチームにご報告いただくか、チャット機能に含まれる「問題を報告する」をクリックしてください。

電子メール、チャットメッセージ、テキストメッセージ、電話を通じて、お客様にお支払い情報の共有をお願いすることは決してありません。

お客様およびパートナーの皆様には、引き続きご注意くださいますようお願い申し上げます。不審な通信に遭遇した場合、または非公式なチャネルを通じて機密情報を要求された場合は、関与しないでください。Booking.comの公式チャンネルを通じて、当社のカスタマーサービスチームに直ちに報告してください。信頼と安全リソースセンターでは、フィッシング詐欺を見分け、回避するためのガイダンスを提供しています。

.ia_ad { background-color：#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border：1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }：0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding：display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color：#line-height: 1.4; font-family：margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color：#border：1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding：10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding：15px; width: 100%; } .ia_button { width: 100%; } .

1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%を支えるMITRE ATT&CKテクニックのトップ10とその防御方法をご覧ください。

クリックフィックスとBooking.comの出会い

攻撃の93%を支えるMITRE ATT&CK©テクニック・トップ10

Comments