Fałszywe strony Booking.com. Problem zaczyna się od monitu CAPTCHA
Cyberprzestępcy wykorzystują fałszywe strony udające serwis Booking.com do infekowania urządzeń złośliwym oprogramowaniem AsyncRAT.
Cyberprzestępcy rozpoczęli kampanię, w której przekierowują użytkowników z linków umieszczonych na stronach gamingowych i w mediach społecznościowych na fałszywe strony podszywające się wizualnie pod Booking.com. Jak wynika z badań Malwarebytes, statystycznie aż 40 proc. osób rezerwuje podróże przez ogólne wyszukiwania online, co stwarza wiele okazji dla oszustów - tak jak w tym przypadku.
Pierwsze oznaki opisywanej kampanii pojawiły się w połowie maja, a ostateczne miejsce przekierowania zmienia się co dwa do trzech dni. Po kliknięciu w linki, użytkownicy trafiają na strony z fałszywymi formularzami CAPTCHA, które przejmują schowek i próbują nakłonić odwiedzających do wykonania czynności prowadzących do nieświadomego zainfekowania swoich urządzeń.
Na spreparowanych stronach zaznaczenie pola w fałszywym formularzu CAPTCHA daje stronie pozwolenie na skopiowanie treści do schowka. Następnie oszuści próbują nakłonić użytkownika do wykonania polecenia Run na komputerze. Tego typu polecenia nigdy nie są używane w prawdziwych formularzach CAPTCHA i powinny budzić podejrzenia. W tym przypadku prowadzi to do uruchomienia spreparowanego polecenia.
Dalsza część artykułu pod materiałem wideo
Jeśli użytkownik nie ma włączonych odpowiednich zabezpieczeń, polecenie otworzy ukryte okno PowerShell, które pobierze i uruchomi plik ckjg.exe, a następnie Stub.exe, wykrywany jako Backdoor.AsyncRAT. To złośliwe oprogramowanie umożliwia zdalne monitorowanie i kontrolowanie zainfekowanych komputerów, co może prowadzić do kradzieży danych osobowych i finansowych.
