HackerNews 编译,转载请注明出处:
网络安全研究人员发现一场广泛传播的钓鱼攻击活动正在针对酒店服务行业,攻击者通过伪装Booking.com的恶意邮件诱骗收件人下载恶意软件。这些攻击采用名为ClickFix的欺骗性验证码系统,诱导受害者在Windows设备上运行恶意脚本。
该攻击活动自2024年11月活跃至今,在2025年3月达到高峰,占其总攻击量的47%。攻击者发送冒充Booking.com的邮件,要求酒店员工处理客户问题或确认预订信息。邮件中嵌入的链接会将用户导向伪造的验证码页面,触发恶意软件下载流程。
ClickFix页面提示用户完成“验证步骤”,要求通过Windows快捷操作复制并执行脚本。这些脚本通常安装远程访问木马(RAT)或信息窃取程序。据监测数据显示,53%的攻击载荷为XWorm远程木马,其余主要为Pure Logs窃密程序与DanaBot恶意软件。
近期攻击邮件呈现新特征:
- 以酒店声誉受损为威胁,设置24小时紧急处理期限伪造客户预订需求,要求提前入住或特殊设施安排发送虚假确认函,诱导员工点击恶意链接响应
部分变种甚至模仿Cookie同意弹窗,用户点击“接受”即触发恶意下载。尽管出现模仿Cloudflare的验证码变体,此类手法目前仍属少数。
该技术标志着钓鱼方法的转变:用户并非直接下载文件,而是在三步骤中无意执行恶意脚本:
- 验证码页面将隐藏脚本植入剪贴板诱导受害者打开Windows运行命令框粘贴并执行脚本以激活恶意程序
部分脚本末端伪装成验证码,进一步掩盖真实目的。监测数据显示75%的攻击使用Booking.com标识,但也观察到模仿Cloudflare等服务的变种。
该攻击活动的持续演进和高成功率,正使住宿与餐饮服务行业面临日益严峻的安全挑战。
消息来源: infosecurity-magazine;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
