마이크로소프트는 Booking.com을 사칭하는 사기 행위에 대해 경고했습니다.

이 정교한 피싱 공격은 2024년 12월에 시작되어 2025년 2월까지 지속된 것으로 추정되며, 북미, 동남아시아 및 유럽의 숙박업계 종사자들을 표적으로 삼았습니다. 공격자들은 직원들이 Booking.com과 맺고 있는 관계, 특히여행 플랫폼에서 발송하는 이메일을 자주 확인하는 사람들을 악용했습니다.

마이크로소프트의 최신 보고서에 따르면, 이 공격 캠페인은 "클릭픽스(ClickFix)"라는 기법을 사용합니다. 사기꾼들은 가짜 오류 메시지를 만들어 사용자를 속이고, 복사, 붙여넣기, 명령어 실행 등의 작업을 유도하여 악성 소프트웨어를 다운로드하게 합니다. 마이크로소프트는 "사용자 상호 작용이 필요하기 때문에 이러한 공격은 기존 보안 조치를 우회할 수 있다"고 경고합니다.

구체적으로, 사용자들은 키보드 단축키를 사용하여 윈도우 실행 창을 열고, 피싱 페이지에서 제공하는 명령어를 붙여넣어 실행하라는 지시를 받습니다. 연구원들은 이 캠페인의 배후에 Storm-1865라는 범죄 조직이 있음을 확인했습니다. 이 조직은 결제 정보를 탈취하고 사기 거래를 시도하는 수많은 피싱 공격을 자행해 왔습니다.

악성 이메일에는 흔히 부정적인 고객 리뷰, 계정 인증 요청 또는 잠재 고객 정보와 관련된 내용이 포함됩니다. 대부분의 이메일에는 가짜 CAPTCHA 페이지로 연결되는 링크나 PDF 첨부 파일이 있으며, 공격자는 이 페이지에서 ClickFix 프로그램을 실행합니다. 피해자가 링크를 클릭하면 악성 프로그램이 기기에 다운로드됩니다.

마이크로소프트는 이러한 공격에 사용된 다양한 유형의 악성 소프트웨어를 탐지했는데, 여기에는 XWorm, Lumma Stealer, VenomRAT, AsyncRAT, Danabot 및 NetSupport RAT이 포함되며, 이 모든 악성 소프트웨어를 통해 해커는 금융 정보와 로그인 자격 증명을 훔칠 수 있습니다.

Booking.com의 답변

Booking.com 관계자는 이번 사기로 피해를 입은 숙박 시설은 플랫폼에 등록된 전체 숙박 시설 중 극히 일부에 불과하다고 밝혔습니다. 회사는 고객과 파트너에게 미치는 영향을 최소화하기 위해 상당한 투자를 진행했습니다. Booking.com 시스템은 해킹되지 않았지만, 일부 파트너와 고객이 피싱 공격의 피해자가 되었다고 확인했습니다.

마이크로소프트는 또한 스톰-1865 악성코드가 2023년에 호텔 투숙객을 표적으로 삼았으며 2023년 초부터 공격을 강화했다고 밝혔습니다. 마이크로소프트는 호텔 직원들에게 발신자 이메일 주소를 꼼꼼히 확인하고, 이메일의 철자 오류에 주의를 기울이며, 특정 조치를 요구하는 메시지에는 항상 경계할 것을 당부했습니다.