Cette campagne de phishing sophistiquée aurait débuté en décembre 2024 et s'est poursuivie jusqu'en février 2025, ciblant les employés du secteur de l'hôtellerie-restauration en Amérique du Nord, en Asie du Sud-Est et en Europe. Les attaquants exploitent les relations des employés avec Booking.com, en particulier ceux qui ouvrent fréquemment les e-mails de la plateforme de voyages .
Microsoft recommande au personnel de l’hôtel de vérifier soigneusement l’adresse e-mail de l’expéditeur.
Selon un nouveau rapport de Microsoft, la campagne utilise une technique appelée « ClickFix ». Les fraudeurs créent de faux messages d'erreur pour inciter les utilisateurs à copier, coller et exécuter des commandes sur leur ordinateur, ce qui télécharge ensuite des logiciels malveillants. Microsoft prévient que « la nécessité d'une interaction avec l'utilisateur peut permettre à ces attaques de contourner les mesures de sécurité courantes ».
Plus précisément, les utilisateurs sont invités à utiliser un raccourci clavier pour ouvrir la fenêtre Exécuter de Windows, puis à coller et exécuter la commande fournie par la page d'hameçonnage. Les chercheurs ont identifié Storm-1865 comme le groupe criminel à l'origine de cette campagne, qui a mené de nombreuses autres attaques d'hameçonnage visant à voler des données de paiement et à effectuer des transactions frauduleuses.
Les e-mails malveillants contiennent généralement du contenu lié à des avis clients négatifs, des demandes de vérification de compte ou des informations de clients potentiels. La plupart des e-mails incluent un lien ou une pièce jointe PDF menant à une fausse page CAPTCHA où le pirate déploie le programme ClickFix. Lorsque la victime clique sur le lien, le logiciel malveillant est téléchargé sur son appareil.
Avertissement de fraude lors de l'installation d'applications de service public pour intégrer des points de permis de conduire
Microsoft a détecté plusieurs types de logiciels malveillants différents utilisés dans ces attaques, notamment XWorm, Lumma stealer, VenomRAT, AsyncRAT, Danabot et NetSupport RAT, qui permettent tous aux pirates de voler des informations financières et des identifiants de connexion.
La réponse de Booking.com
Un représentant de Booking.com a déclaré que le nombre d'établissements touchés par cette arnaque ne représente qu'une infime partie du nombre total d'établissements présents sur sa plateforme. L'entreprise a réalisé d'importants investissements pour minimiser l'impact sur ses clients et ses partenaires. Il a précisé que les systèmes de Booking.com n'avaient pas été compromis, mais que certains partenaires et clients avaient été victimes d'attaques de phishing.
Microsoft a également noté que Storm-1865 a ciblé les clients de l'hôtel en 2023 et a intensifié ses attaques depuis début 2023. La société recommande au personnel de l'hôtel de vérifier l'adresse e-mail de l'expéditeur, de prêter attention aux fautes d'orthographe dans les e-mails et de rester méfiant à l'égard de tout message leur demandant d'agir.
Source : https://thanhnien.vn/microsoft-canh-bao-chien-dich-lua-dao-mao-danh-bookingcom-185250315075007781.htm
Comment (0)