攻击者通过假冒 Booking.com 的电子邮件传播 ClickFix 钓鱼链接

微软揭露了一起针对酒店业的钓鱼活动，不法分子假扮在线旅游机构Booking.com，利用名为ClickFix的社会工程学手段传播窃取凭证的恶意软件。

微软称，该活动始于2024年12月，目的是进行金融诈骗和盗窃，被追踪为Storm-1865。攻击目标是北美、大洋洲、南亚和东南亚以及欧洲各地与Booking.com有业务往来的酒店业人士，通过发送假冒邮件，声称有客人在Booking.com上留下了负面评价，要求收件人给出“反馈”。

ClickFix手段近来愈发普遍，它诱骗用户在修复一个虚假错误的借口下，复制粘贴并执行恶意指令，从而启动感染过程，该手段最早于2023年10月被发现。

攻击流程是Storm-1865先向目标发送恶意邮件，内容涉及Booking.com上的虚假客人负面评价，要求收件人反馈，邮件中还嵌入了看似指向预订网站的链接或PDF附件。然而，点击链接会将受害者引至一个伪装在Booking.com页面背景上的虚假验证码页面，以增加安全性假象，提高攻击成功率。

在虚假验证码页面，网页运用ClickFix手段下载恶意载荷，指示用户使用快捷键打开Windows运行窗口，然后粘贴并执行网页添加到剪贴板的命令。该命令利用合法的mshta.exe程序投放下一阶段载荷，包括XWorm、Lumma窃密程序、VenomRAT等多种常见恶意软件家族。

微软之前观察到Storm-1865利用电商平台对买家实施钓鱼攻击，引导至诈骗付款网页。此次结合ClickFix手段，显示出攻击策略的演变，旨在绕过传统反钓鱼和反恶意软件安全措施。

Storm-1865是众多采用ClickFix作为恶意软件传播手段的活动之一。该手段效果显著，连俄罗斯和伊朗的国家级攻击组织如APT28和MuddyWater也采用它来诱骗受害者。

新加坡网络安全公司记录的一起活动显示，利用ClickFix投放名为SMOKESABER的下载器，进而成为Lumma窃密程序的传播渠道。其他活动则借助恶意广告、搜索引擎投毒、GitHub问题以及在论坛或社交媒体上发布ClickFix页面链接等方式。

ClickFix标志着对抗性社会工程策略的演变，利用用户信任和浏览器功能部署恶意软件。其被网络犯罪分子和APT组织快速采用，凸显了其有效性和低技术门槛。

其他已记录的ClickFix活动包括：利用虚假验证码启动多阶段PowerShell执行过程，最终投放Lumma和Vidar等信息窃取程序；名为Blind Eagle的攻击者利用虚假Google reCAPTCHA挑战部署恶意软件；利用虚假预订确认链接将用户重定向至验证码页面，进而引导至Lumma窃密程序；利用虚假Windows主题网站将用户重定向至验证码页面，进而引导至Lumma窃密程序。

Lumma窃密程序的多样化感染机制还体现在通过伪装成人工智能内容的虚假GitHub仓库，利用名为SmartLoader的加载器进行传播。这些恶意仓库伪装成无害工具，如游戏外挂、破解软件和加密货币工具，以免费或非法功能为诱饵，诱使受害者下载ZIP文件。

Trustwave还详细描述了一起利用发票相关诱饵分发更新版Strela窃密程序的电子邮件钓鱼活动，该程序被认为由名为Hive0145的单一攻击者操作。Strela窃密程序样本包含自定义多层混淆和代码流扁平化，以增加分析难度。据报道，攻击者可能开发了一种名为“Stellar加载器”的专用加密器，专门用于Strela窃密程序。

消息来源：The Hacker News； 

本文由 HackerNews.cc 翻译整理，封面来源于网络；