专家警告说,酒店和客人正受到一场高度复杂的 ClickFix 活动的攻击,旨在传播危险的 恶意软件、窃取登录凭证并进行欺诈性电汇交易。

网络安全研究人员 Sekoia 透露,攻击者首先使用随机被攻陷的电子邮件账户,向酒店和不同的 Booking.com 账户持有者发送钓鱼信息。信息中的链接会触发一个重定向链,最终引导到一个假冒的 reCAPTCHA 挑战,目的是让受害者下载并安装一个名为 PureRAT 的远程访问木马。

Sekoia 解释,攻击者非常小心,确保他们的目标是正确的人。在暗网论坛,比如 LolzTeam,他们购买有关 Booking.com 机构管理员的信息,有时甚至提供分成以换取有效的联系信息。

窃取信用卡数据

窃取信用卡数据

“Booking.com 的外部账户在针对酒店行业的欺诈活动中起着至关重要的作用,”Sekoia 的研究人员解释道。

“因此,从这些账户中获取的数据已经成为一种利润丰厚的商品,经常在黑市上出售。”

PureRAT 能够执行各种恶意操作 - 从授予远程访问权限到允许攻击者控制鼠标和键盘。它还可以控制网络摄像头和麦克风来捕捉声音和视频,可以记录按键,还能上传和下载其他文件。

然而,攻击者似乎正在利用它来绘制酒店客户的分布图。然后,他们开始给客户发送邮件,以及发送包含真实预订细节的个性化 WhatsApp 消息,让这些骗局看起来更真实。

这些消息还包含钓鱼链接,引导受害者访问假冒的Booking或Expedia网站,如果收件人登录,他们的凭据和信用卡信息就会被窃取。

其实,我们不知道有多少酒店或人员受到此次活动的影响,不过,Sekoia表示,这个活动自2025年4月就开始活跃,并在2025年10月初正式运作。