社交工程攻击的新花样让酒店服务商陷入混乱。

　　微软安全研究团队表示，一个名为Storm-1865的威胁行为者正在发动一场钓鱼攻击，伪装成旅游网站Booking.com。其目标很可能是与Booking.com直接合作的酒店公司。

　　这些目标组织位于北美、大洋洲、南亚和东南亚以及北欧、南欧、东欧和西欧。根据对恶意软件有效载荷的分析，该行动的最终目的似乎是窃取金融账户和登录凭证。

　　尽管定向钓鱼攻击并非新鲜事，但微软研究团队关注的是攻击者如何将恶意软件植入目标机器的方式。

　　威胁行为者使用了一种名为“ClickFix”的技术。在这类攻击中，受害者会收到一个伪造的错误消息弹窗或通知。该通知指示用户访问某个网站，或复制并粘贴一条命令，这将导致漏洞利用或直接下载恶意软件包。

　　这类攻击往往比其他常见方法更成功，因为它们不仅通过看似来自操作系统的官方通知让用户措手不及，还能以许多反恶意软件工具难以察觉的方式执行攻击。

　　“这种需要用户交互的需求可能会让攻击绕过常规和自动化的安全功能，”研究人员解释道，“在这次钓鱼攻击行动中，用户被提示使用键盘快捷键打开Windows运行窗口，然后粘贴并运行钓鱼页面添加到剪贴板的命令。”

　　钓鱼邮件本身有多种形式，但均自称来自Booking.com，并针对已注册该网站的酒店服务商。诱饵包括差评通知和账户验证警报。点击邮件中的链接后，目标将被重定向到一个显示伪造弹窗的网站。

　　在这种情况下，弹窗呈现为CAPTCHA测试。测试要求受害者复制一串文本并使用Windows运行命令执行。此时，恶意软件将被下载并执行。微软表示，尽管Storm-1865组织已活跃约两年，但ClickFix技术是这家网络犯罪组织首次使用。

　　“2023年，Storm-1865使用类似的社交工程技术和恶意软件针对使用Booking.com的酒店客人。2024年，Storm-1865则通过指向欺诈支付网页的钓鱼信息，针对使用电子商务平台的买家。”微软指出，“ClickFix被添加到该威胁行为者的战术、技术和程序（TTP）中，这表明Storm-1865正在不断升级其攻击链，试图绕过针对钓鱼和恶意软件的常规安全措施。”