网络安全研究人员近日披露了一场针对酒店业的大规模钓鱼攻击活动。攻击者通过仿冒Booking.com的钓鱼邮件,诱骗酒店经理点击伪造的验证页面,进而部署名为PureRAT的远程访问木马。
据法国安全公司Sekoia分析,该活动至少自2025年4月持续至10月初。攻击者首先入侵合法邮箱账户,向多家酒店发送精心伪造的邮件,将受害者引导至伪装成reCAPTCHA验证的ClickFix社交工程页面。该页面通过复杂重定向机制,最终诱使用户执行恶意PowerShell命令。
攻击链最终下载的ZIP压缩包内含通过DLL旁加载技术激活的PureRAT恶意软件。这款模块化木马具备键盘记录、远程控制、摄像头捕获、文件窃取等全方位监控功能,并通过.NET Reactor进行混淆保护,还通过注册表实现持久化驻留。
更严重的是,攻击得手后,犯罪分子会利用窃取的酒店预订平台账户,通过WhatsApp或邮件联系真实客户,以”确认预订信息”为名诱导其进入仿冒的Booking.com或Expedia页面,进而窃取银行卡信息。
调查发现,犯罪团伙从LolzTeam等黑客论坛购买Booking.com管理员账户信息,甚至按利润分成招募分销专家。Sekoia观察到专门用于交易预订平台日志的Telegram机器人,以及提供人工验号服务的黑产供应商。
值得注意的是,ClickFix攻击页面近期持续升级,新增嵌入式视频、倒计时器和”近期验证用户”计数器等元素,还能根据受害者操作系统自动显示对应指令,并采用剪贴板劫持技术自动复制恶意代码。
Push安全公司警告称:”ClickFix页面正变得日益精密,有效提升了社交工程攻击的成功率。其攻击载荷不仅更加多样,还不断演化出规避安全检测的新手法。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容