Ce mail soi-disant envoyé par Booking est en fait une arnaque
Une campagne de phishing touche les professionnels de l’hôtellerie, annonce Microsoft Threat Intelligence sur son blog. Pour tromper leurs cibles, les instigateurs de cette opération malveillante utilisent la marque Booking.com.
Les victimes sont des organisations hôtelières d’Europe, d’Amérique du Nord, d’Océanie et d’Asie du Sud et du Sud-Est. Les établissements visés sont les plus susceptibles de travailler avec la plateforme de voyage et de réagir à de faux emails prétendant provenir de Booking.
Un faux CAPTCHA
Les pirates, identifiés comme appartenant au groupe Storm-1865 ont élaboré une stratégie, reposant sur la technique ClickFix. Celle-ci consiste à « exploiter les capacités humaines de résolution de problèmes en affichant de faux messages d’erreur ou des messages invitant les utilisateurs ciblés à corriger les problèmes par copier-coller et exécuter des commandes, ce qui entraîne le téléchargement d’un logiciel malveillant », détaille Microsoft. Pour cela, les pirates utilisent un faux CAPTCHA.
Les personnes ciblées reçoivent un email prétendument envoyé par Booking dans lequel il peut être fait référence à des avis clients négatifs, à des demandes de clients potentiels, à des opportunités de promotion en ligne ou encore à la vérification de compte. L’email est accompagné d’un lien ou d’une pièce jointe PDF contenant un lien qui renvoie vers un site imitant celui de Booking.com. Sur ce site se trouve un CAPTCHA. Ce qui pourrait rassurer la victime, mais qui constitue en fait un piège.
Réaliser un copié-collé
Ce CAPTCHA est un peu particulier. Il n’y a pas à résoudre un puzzle, à identifier où se trouvent les bus ou réaliser une opération mathématique. Il est demandé à l’utilisateur d’utiliser un raccourci clavier (Windows + R) pour ouvrir une fenêtre d’exécution Windows, puis de coller et d’exécuter une commande préalablement copiée dans le presse-papiers à son insu. Une fois l’opération validée, le malware s’installe sur l’ordinateur.
« Cette campagne diffuse plusieurs familles de logiciels malveillants courants, notamment XWorm, Lumma stealer, VenomRAT, AsyncRAT, Danabot et NetSupport RAT », indique Microsoft. Tous ces programmes malveillants permettent de voler des données financières ou des identifiants. Pour se préserver d’une telle attaque, il est recommandé de bien vérifier l’adresse de l’expéditeur et de ne jamais cliquer sur un lien suspect. Il est primordial de bien vérifier l’URL du site Internet. Celle de la plateforme de voyage est booking.com, et pas une autre.
