駭客佯裝Booking.com從事ClickFix網釣，對旅館業者的人際網路散布惡意程式

要求使用者依照特定指示操作的網釣攻擊手法ClickFix，近半年接二連三出現，如今出現專門針對特定行業的攻擊行動，引起研究人員關注並提出警告。

微軟威脅情報團隊從去年12月的旅遊旺季，察覺專門針對旅館業者的ClickFix網釣攻擊行動，駭客組織Storm-1865假借訂房網站Booking.com的名義發送釣魚郵件，意圖散布能竊取多種帳密資料的惡意程式。值得留意的是，這波攻擊行動仍在持續進行當中。

駭客攻擊的範圍相當廣泛，涵蓋北美、大洋洲、南亞及東南亞，歐洲北部、南部、東部、西部都有災情。遭到攻擊的目標存在共通點，那就是大部分都與Booking.com有合作關係。

在這波攻擊當中，駭客先鎖定可能與Booking.com合作的旅館及相關人士，假借該訂房網站名義寄送惡意郵件，信件內容相當多元，包括旅客的負面評論、潛在客戶需求、網路促銷機會，以及帳號驗證等。然而，這些郵件存在共通之處，不是內文包含URL連結，就是挾帶的PDF附件存在URL，駭客引誘收信人點選，對Booking.com進行回覆。

然而收信人一旦點選，就會被帶往冒牌的Booking.com網站進行CAPTCHA圖靈驗證，要求依照指示操作，先透遇快速鍵開啟執行視窗，然後貼上駭客的命令並執行，從而在受害電腦植入各式惡意軟體。

這些惡意程式包含XWorm、Lumma stealer、VenomRAT、AsyncRAT、Danabot、NetSupport RAT，此外，研究人員也看到下載PowerShell、JavaScript程式碼的情況。

而對於上述的惡意程式及程式碼，微軟指出都具備竊取財務資料及帳密資斗的能力，攻擊者再將其用於詐欺活動。不過，Storm-1865假冒Booking.com從事攻擊的情況已有前例，2023年這些駭客使用類似的社交工程手法，打著該訂房網站的名號，鎖定旅館房客散布惡意程式。