![Microsoft Memperingatkan Kampanye Kampanye ClickFix Menargetkan Sektor Perhotelan Melalui Pemesanan Palsu[.]email com](https://i3.wp.com/blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhM5jI8FVP1tzJaKIu8nlTdOmjGyA2IQAKVRihrTXOM7K3WCMjugET571ivv6PB_-jdsJPrBN7f34R9uF-8JohBpF8ZSey7ZTRmgdpQ8OZ9JwvpBAJujhuOH6zCidExabNOyw2uD7cCscTHAJtzEGLI4KHjHcUbvAunnpfIlm8HjBZVkXPBCCIguGoOfKCB/s728-rw-e365/storm.png?w=1024&resize=1024,0&ssl=1 "Microsoft Memperingatkan Kampanye Kampanye ClickFix Menargetkan Sektor Perhotelan Melalui Pemesanan Palsu[.]email com")
Microsoft telah menjelaskan kampanye phishing berkelanjutan yang menargetkan sektor perhotelan dengan menyamar sebagai agen perjalanan online Booking.com menggunakan teknik teknik sosial yang semakin populer yang disebut ClickFix untuk memberikan malware mencuri kredensial.
Kegiatan itu, kata raksasa teknologi itu, dimulai pada Desember 2024 dan beroperasi dengan tujuan akhir melakukan penipuan dan pencurian keuangan. Itu melacak kampanye di bawah moniker Storm-1865.
“Serangan phishing ini secara khusus menargetkan individu dalam organisasi perhotelan di Amerika Utara, Oseania, Asia Selatan dan Tenggara, dan Eropa utara, selatan, timur, dan barat, yang kemungkinan besar bekerja dengan Booking.com, mengirimkan email palsu yang mengaku datang dari agensi,” kata Microsoft dalam sebuah laporan yang dibagikan kepada Hacker News.
Teknik ClickFix telah menjadi luas dalam beberapa bulan terakhir, karena itu menipu pengguna untuk menjalankan malware dengan kedok memperbaiki kesalahan yang seharusnya (yaitu, tidak ada) dengan menyalin, menempel, dan meluncurkan instruksi menipu yang mengaktifkan proses infeksi. Ini pertama kali terdeteksi di alam liar pada Oktober 2023.
Urutan serangan dimulai dengan Storm-1865 mengirimkan email jahat kepada individu yang ditargetkan tentang ulasan negatif yang ditinggalkan oleh tamu yang diakui di booking.com, dan meminta mereka untuk “umpan balik” mereka. Pesan tersebut juga menanamkan tautan, atau lampiran PDF yang berisi yang tampaknya mengarahkan penerima ke situs pemesanan.
Namun, pada kenyataannya, mengkliknya membawa korban ke halaman verifikasi captcha palsu yang dilapis pada “latar belakang yang terlihat halus yang dirancang untuk meniru halaman Booking.com yang sah.” Dengan melakukan hal itu, idenya adalah untuk meminjamkan rasa aman yang salah dan meningkatkan kemungkinan kompromi yang sukses.
“Captcha palsu adalah tempat halaman web menggunakan teknik rekayasa sosial clickfix untuk mengunduh muatan jahat,” kata Microsoft. “Teknik ini menginstruksikan pengguna untuk menggunakan pintasan keyboard untuk membuka jendela Windows Run, lalu tempel dan luncurkan perintah yang ditambahkan halaman web ke clipboard.”
Singkatnya, perintah tersebut menggunakan biner MSHTA.EXE yang sah untuk menjatuhkan muatan tahap berikutnya, yang terdiri dari berbagai keluarga malware komoditas seperti XWorm, Lumma Stealer, Venomrat, Asyncrat, Danabot, dan Netsupport Rat.
Redmond mengatakan sebelumnya mengamati Storm-1865 yang menargetkan pembeli menggunakan platform e-commerce dengan pesan phishing yang mengarah ke halaman web pembayaran penipuan. Oleh karena itu, penggabungan teknik clickFix menggambarkan evolusi taktis yang dirancang untuk melewati langkah -langkah keamanan konvensional terhadap phishing dan malware.
“Aktor ancaman yang dilacak Microsoft sebagai Storm-1865 merangkum sekelompok aktivitas yang melakukan kampanye phishing, yang mengarah pada pencurian data pembayaran dan biaya penipuan,” tambahnya.
“Kampanye ini telah berlangsung dengan peningkatan volume sejak setidaknya awal 2023 dan melibatkan pesan yang dikirim melalui platform vendor, seperti agen perjalanan online dan platform e-commerce, dan layanan email, seperti Gmail atau iCloud Mail.”
Storm-1865 hanya mewakili salah satu dari banyak kampanye yang telah menganut ClickFix sebagai vektor untuk distribusi malware. Begitulah keefektifan teknik ini sehingga bahkan kelompok-kelompok negara-bangsa Rusia dan Iran seperti APT28 dan Muddywater telah mengadopsinya untuk memikat para korban mereka.
“Khususnya, metode ini memanfaatkan perilaku manusia: dengan menghadirkan 'solusi' yang masuk akal ke masalah yang dirasakan, penyerang mengalihkan beban eksekusi kepada pengguna, secara efektif menghindari banyak pertahanan otomatis,” kata kelompok-IB dalam laporan independen yang diterbitkan hari ini.
Salah satu kampanye yang didokumentasikan oleh perusahaan cybersecurity Singapura melibatkan penggunaan clickfix untuk menjatuhkan pengunduh bernama Smokesaber, yang kemudian berfungsi sebagai saluran untuk Lumma Stealer. Kampanye lain telah memanfaatkan malvertising, keracunan SEO, masalah gitub, dan spam forum atau situs media sosial dengan tautan ke halaman clickfix.
“Teknik ClickFix menandai evolusi dalam strategi rekayasa sosial permusuhan, memanfaatkan kepercayaan pengguna dan fungsionalitas browser untuk penyebaran malware,” kata Group-IB. “Adopsi cepat dari metode ini oleh penjahat cyber dan kelompok apt menggarisbawahi keefektifannya dan hambatan teknis yang rendah.”
Beberapa kampanye clickfix lain yang telah didokumentasikan tercantum di bawah ini –
Mekanisme infeksi yang beragam dari pencuri Lumma selanjutnya dicontohkan oleh penemuan kampanye lain yang menggunakan repositori BOGUS GITHUB yang menampilkan kecerdasan buatan (AI)-konten untuk mengirimkan pencuri melalui loader yang disebut sebagai SmartLoader.
“Repositori berbahaya ini disamarkan sebagai alat yang tidak berbahaya, termasuk cheat game, perangkat lunak retak, dan utilitas cryptocurrency,” kata Trend Micro dalam analisis yang diterbitkan awal pekan ini. “Kampanye ini melibatkan korban dengan janji -janji fungsionalitas tidak sah atau tidak sah, mendorong mereka untuk mengunduh file zip (misalnya, rilis.zip, software.zip).”
Operasi ini berfungsi untuk menyoroti bagaimana aktor ancaman menyalahgunakan kepercayaan yang terkait dengan platform populer seperti GitHub untuk perambatan malware.
Temuan ini datang sebagai TrustWave merinci kampanye phishing email yang memanfaatkan umpan terkait faktur untuk mendistribusikan versi terbaru dari malware pencuri lain yang disebut Strelastealer, yang dinilai dioperasikan oleh aktor ancaman tunggal yang dijuluki Hive0145.
“Sampel Strelastealers termasuk kebingungan multi-lapisan khusus dan perataan kode-aliran untuk memperumit analisisnya,” kata perusahaan itu. “Telah dilaporkan bahwa aktor ancaman yang berpotensi mengembangkan crypter khusus yang disebut 'Stellar Loader,' khususnya, untuk digunakan dengan Strelastealer.”
