マイクロソフト、Booking.comを装ったフィッシング詐欺に警告

この巧妙なフィッシング攻撃は2024年12月に開始され、2025年2月まで続いたとみられ、北米、東南アジア、ヨーロッパのホスピタリティ業界の従業員を標的としています。攻撃者は、Booking.comの従業員、特に同旅行プラットフォームからのメールを頻繁に開封する従業員との関係を悪用しています。

Microsoftの最新レポートによると、この攻撃では「ClickFix」と呼ばれる手法が利用されています。詐欺師は偽のエラーメッセージを作成し、ユーザーを騙してコマンドをコピー＆ペーストさせ、コンピュータ上で実行させることでマルウェアをダウンロードさせます。Microsoftは、「ユーザーによる操作が必要となるため、これらの攻撃は一般的なセキュリティ対策を回避できる可能性がある」と警告しています。

具体的には、ユーザーはキーボードショートカットを使ってWindowsの「ファイル名を指定して実行」ウィンドウを開き、フィッシングページに表示されているコマンドを貼り付けて実行するよう求められます。研究者たちは、このキャンペーンの背後にいる犯罪グループとしてStorm-1865を特定しました。Storm-1865は、決済データの窃盗や不正取引を目的とした他の多くのフィッシング攻撃を実行してきました。

悪意のあるメールには通常、顧客からの否定的なレビュー、アカウント確認の依頼、あるいは潜在顧客からの情報に関する内容が含まれています。多くのメールには、偽のCAPTCHAページへのリンクまたはPDFファイルが添付されており、攻撃者はそこでClickFixプログラムを実行します。被害者がリンクをクリックすると、マルウェアがデバイスにダウンロードされます。

Microsoft は、これらの攻撃に使用されたさまざまな種類のマルウェアを検出しました。その中には、XWorm、Lumma stealer、VenomRAT、AsyncRAT、Danabot、NetSupport RAT などがあり、これらはすべてハッカーによる金融情報やログイン資格情報の盗難を可能にします。

Booking.comの回答

Booking.comの担当者は、今回の詐欺の被害に遭った宿泊施設の数は、同社のプラットフォーム上の宿泊施設総数のごく一部だと述べた。同社は顧客とパートナーへの影響を最小限に抑えるため、多大な投資を行ってきた。Booking.comのシステムは侵害されていないものの、一部のパートナーと顧客がフィッシング攻撃の被害に遭っているという。

マイクロソフトはまた、Storm-1865が2023年にホテル宿泊客を標的とし、2023年初頭から攻撃を強化していると指摘した。同社はホテルスタッフに対し、送信者のメールアドレスを再確認し、メールのスペルミスに注意し、対応を求めるメッセージには警戒するよう推奨している。