この巧妙な詐欺は2024年12月に始まり、2025年2月まで続いたとみられており、北米、東南アジア、ヨーロッパのホスピタリティ業界で働く人々を標的にしている。攻撃者は、Booking.com の従業員、特に旅行プラットフォームからのメールを頻繁に開く従業員との関係を悪用しています。

Microsoft の新しいレポートによると、このキャンペーンでは「ClickFix」と呼ばれる手法が使用されています。詐欺師は偽のエラー メッセージを作成し、ユーザーをだましてコンピューター上でコピー、貼り付け、コマンドの実行などの操作を行わせ、マルウェアをダウンロードさせます。マイクロソフトは、「ユーザーの操作が必要になるため、こうした攻撃は一般的なセキュリティ対策を回避できる可能性がある」と警告している。

具体的には、ユーザーはショートカットを使用して Windows の [実行] ウィンドウを開き、詐欺ページで提供されているコマンドを貼り付けて実行するように求められます。研究者らは、このキャンペーンの背後にいる犯罪グループがStorm-1865であると特定した。このグループは、支払いデータを盗み、不正な取引を行うことを目的とした他の多くのフィッシング攻撃を実行したグループです。

悪意のある電子メールには、否定的な顧客レビュー、アカウント確認リクエスト、または潜在顧客からの情報に関連するコンテンツが含まれていることがよくあります。ほとんどの電子メールには、攻撃者が ClickFix プログラムを展開する偽の CAPTCHA ページにつながるリンクまたは PDF 添付ファイルが含まれています。被害者がリンクをクリックすると、マルウェアがデバイスにダウンロードされます。

Microsoft は、これらの攻撃で使用されるさまざまな種類のマルウェアを検出しました。その中には、XWorm、Lumma stealer、VenomRAT、AsyncRAT、Danabot、NetSupport RAT などがあり、ハッカーが金融情報やログイン資格情報を盗むことを可能にします。

Booking.comの回答

Booking.comの担当者は、この詐欺の被害に遭った宿泊施設の数は、同社のプラットフォーム上の全宿泊施設数のほんの一部に過ぎないと述べた。同社は顧客とパートナーへの影響を最小限に抑えるために多大な投資を行ってきました。 Booking.comのシステムは侵害されていないと主張しているが、一部のパートナーと顧客がフィッシング攻撃の被害に遭っている。

マイクロソフトはまた、Storm-1865が2023年にホテルの宿泊客を標的とし、2023年初頭から攻撃を強化していると指摘した。同社はホテルのスタッフに対し、送信者のメールアドレスを再確認し、メールのスペルミスに注意し、対応を求めるメッセージには警戒するよう推奨している。