“ClickFix หลอกลวง! แฮกเกอร์ยึดบัญชีโรงแรมบน Booking.com กระจายมัลแวร์ PureRAT”
ลองจินตนาการว่าคุณได้รับอีเมลจาก Booking.com แจ้งว่ามีการจองใหม่เข้ามา พร้อมลิงก์ให้คลิกดูรายละเอียด…แต่พอคลิกไปกลับกลายเป็นกับดักของแฮกเกอร์! นี่คือแคมเปญฟิชชิ่งระดับโลกที่ถูกเปิดโปงโดยนักวิจัยจาก Sekoia.io ซึ่งพบว่าอาชญากรไซเบอร์กำลังใช้บัญชีโรงแรมที่ถูกแฮกบน Booking.com และ Expedia เพื่อหลอกล่อเหยื่อให้ติดตั้งมัลแวร์ PureRAT
แคมเปญนี้เริ่มต้นจากการขโมยข้อมูลล็อกอินของโรงแรมหรือเอเจนซี่ท่องเที่ยว แล้วใช้บัญชีเหล่านั้นส่งอีเมลปลอมที่ดูเหมือนมาจาก Booking.com จริง ๆ โดยมีข้อมูลการจองจริงของลูกค้าเพื่อเพิ่มความน่าเชื่อถือ เมื่อเหยื่อคลิกลิงก์ จะถูกเปลี่ยนเส้นทางไปยังหน้าเว็บปลอมที่เลียนแบบระบบหลังบ้านของ Booking.com และถูกหลอกให้คัดลอกคำสั่ง PowerShell ไปวางในเครื่องตัวเอง ซึ่งเป็นจุดเริ่มต้นของการติดมัลแวร์
มัลแวร์ที่ใช้คือ PureRAT ซึ่งเป็น Remote Access Trojan (RAT) ที่สามารถขโมยไฟล์ บันทึกภาพหน้าจอ ดักพิมพ์คีย์บอร์ด และควบคุมเครื่องจากระยะไกลได้ โดยมัลแวร์นี้ถูกขายในรูปแบบ Malware-as-a-Service (MaaS) บนฟอรั่มใต้ดิน
แคมเปญฟิชชิ่งใช้บัญชี Booking.com และ Expedia ที่ถูกแฮก
แฮกเกอร์ใช้ข้อมูลจองจริงของลูกค้าเพื่อเพิ่มความน่าเชื่อถือ
อีเมลปลอมมีหัวข้อเช่น “New guest message” หรือ “New last-minute booking”
การโจมตีใช้เทคนิค ClickFix Infection Chain
เหยื่อถูกเปลี่ยนเส้นทางผ่านหลายโดเมนไปยังหน้าแอดมินปลอม
หน้าเว็บปลอมให้เหยื่อคัดลอกคำสั่ง PowerShell เพื่อรันมัลแวร์
มัลแวร์ PureRAT ถูกใช้ในการควบคุมเครื่องเหยื่อ
มีความสามารถในการขโมยข้อมูล ควบคุมกล้อง ไมโครโฟน และรันคำสั่ง
ใช้เทคนิค reflective DLL loading เพื่อหลบการตรวจจับ
ตลาดใต้ดินมีการซื้อขายบัญชีโรงแรมพร้อมข้อมูลลูกค้า
ราคาขึ้นอยู่กับระดับสิทธิ์ของบัญชี บางบัญชีขายได้หลายพันดอลลาร์
กลุ่ม “moderator_booking” ทำรายได้กว่า 20 ล้านดอลลาร์จากกิจกรรมนี้
ข้อมูลเสริมจากภายนอก
PureRAT เคยถูกใช้ในหลายแคมเปญโจมตีองค์กรทั่วโลก
การใช้ PowerShell เป็นเทคนิคยอดนิยมของแฮกเกอร์ เพราะสามารถรันคำสั่งได้โดยไม่ต้องติดตั้งโปรแกรม
Bulletproof hosting อย่างที่ใช้ในรัสเซียมักถูกใช้ซ่อนตัวตนของแฮกเกอร์
https://securityonline.info/booking-com-phishing-campaign-hijacks-hotel-accounts-to-deliver-purerat-via-clickfix-lure/
ลองจินตนาการว่าคุณได้รับอีเมลจาก Booking.com แจ้งว่ามีการจองใหม่เข้ามา พร้อมลิงก์ให้คลิกดูรายละเอียด…แต่พอคลิกไปกลับกลายเป็นกับดักของแฮกเกอร์! นี่คือแคมเปญฟิชชิ่งระดับโลกที่ถูกเปิดโปงโดยนักวิจัยจาก Sekoia.io ซึ่งพบว่าอาชญากรไซเบอร์กำลังใช้บัญชีโรงแรมที่ถูกแฮกบน Booking.com และ Expedia เพื่อหลอกล่อเหยื่อให้ติดตั้งมัลแวร์ PureRAT
แคมเปญนี้เริ่มต้นจากการขโมยข้อมูลล็อกอินของโรงแรมหรือเอเจนซี่ท่องเที่ยว แล้วใช้บัญชีเหล่านั้นส่งอีเมลปลอมที่ดูเหมือนมาจาก Booking.com จริง ๆ โดยมีข้อมูลการจองจริงของลูกค้าเพื่อเพิ่มความน่าเชื่อถือ เมื่อเหยื่อคลิกลิงก์ จะถูกเปลี่ยนเส้นทางไปยังหน้าเว็บปลอมที่เลียนแบบระบบหลังบ้านของ Booking.com และถูกหลอกให้คัดลอกคำสั่ง PowerShell ไปวางในเครื่องตัวเอง ซึ่งเป็นจุดเริ่มต้นของการติดมัลแวร์
มัลแวร์ที่ใช้คือ PureRAT ซึ่งเป็น Remote Access Trojan (RAT) ที่สามารถขโมยไฟล์ บันทึกภาพหน้าจอ ดักพิมพ์คีย์บอร์ด และควบคุมเครื่องจากระยะไกลได้ โดยมัลแวร์นี้ถูกขายในรูปแบบ Malware-as-a-Service (MaaS) บนฟอรั่มใต้ดิน
แคมเปญฟิชชิ่งใช้บัญชี Booking.com และ Expedia ที่ถูกแฮก
แฮกเกอร์ใช้ข้อมูลจองจริงของลูกค้าเพื่อเพิ่มความน่าเชื่อถือ
อีเมลปลอมมีหัวข้อเช่น “New guest message” หรือ “New last-minute booking”
การโจมตีใช้เทคนิค ClickFix Infection Chain
เหยื่อถูกเปลี่ยนเส้นทางผ่านหลายโดเมนไปยังหน้าแอดมินปลอม
หน้าเว็บปลอมให้เหยื่อคัดลอกคำสั่ง PowerShell เพื่อรันมัลแวร์
มัลแวร์ PureRAT ถูกใช้ในการควบคุมเครื่องเหยื่อ
มีความสามารถในการขโมยข้อมูล ควบคุมกล้อง ไมโครโฟน และรันคำสั่ง
ใช้เทคนิค reflective DLL loading เพื่อหลบการตรวจจับ
ตลาดใต้ดินมีการซื้อขายบัญชีโรงแรมพร้อมข้อมูลลูกค้า
ราคาขึ้นอยู่กับระดับสิทธิ์ของบัญชี บางบัญชีขายได้หลายพันดอลลาร์
กลุ่ม “moderator_booking” ทำรายได้กว่า 20 ล้านดอลลาร์จากกิจกรรมนี้
ข้อมูลเสริมจากภายนอก
PureRAT เคยถูกใช้ในหลายแคมเปญโจมตีองค์กรทั่วโลก
การใช้ PowerShell เป็นเทคนิคยอดนิยมของแฮกเกอร์ เพราะสามารถรันคำสั่งได้โดยไม่ต้องติดตั้งโปรแกรม
Bulletproof hosting อย่างที่ใช้ในรัสเซียมักถูกใช้ซ่อนตัวตนของแฮกเกอร์
https://securityonline.info/booking-com-phishing-campaign-hijacks-hotel-accounts-to-deliver-purerat-via-clickfix-lure/
🎣 “ClickFix หลอกลวง! แฮกเกอร์ยึดบัญชีโรงแรมบน Booking.com กระจายมัลแวร์ PureRAT”
ลองจินตนาการว่าคุณได้รับอีเมลจาก Booking.com แจ้งว่ามีการจองใหม่เข้ามา พร้อมลิงก์ให้คลิกดูรายละเอียด…แต่พอคลิกไปกลับกลายเป็นกับดักของแฮกเกอร์! นี่คือแคมเปญฟิชชิ่งระดับโลกที่ถูกเปิดโปงโดยนักวิจัยจาก Sekoia.io ซึ่งพบว่าอาชญากรไซเบอร์กำลังใช้บัญชีโรงแรมที่ถูกแฮกบน Booking.com และ Expedia เพื่อหลอกล่อเหยื่อให้ติดตั้งมัลแวร์ PureRAT
แคมเปญนี้เริ่มต้นจากการขโมยข้อมูลล็อกอินของโรงแรมหรือเอเจนซี่ท่องเที่ยว แล้วใช้บัญชีเหล่านั้นส่งอีเมลปลอมที่ดูเหมือนมาจาก Booking.com จริง ๆ โดยมีข้อมูลการจองจริงของลูกค้าเพื่อเพิ่มความน่าเชื่อถือ เมื่อเหยื่อคลิกลิงก์ จะถูกเปลี่ยนเส้นทางไปยังหน้าเว็บปลอมที่เลียนแบบระบบหลังบ้านของ Booking.com และถูกหลอกให้คัดลอกคำสั่ง PowerShell ไปวางในเครื่องตัวเอง ซึ่งเป็นจุดเริ่มต้นของการติดมัลแวร์
มัลแวร์ที่ใช้คือ PureRAT ซึ่งเป็น Remote Access Trojan (RAT) ที่สามารถขโมยไฟล์ บันทึกภาพหน้าจอ ดักพิมพ์คีย์บอร์ด และควบคุมเครื่องจากระยะไกลได้ โดยมัลแวร์นี้ถูกขายในรูปแบบ Malware-as-a-Service (MaaS) บนฟอรั่มใต้ดิน
✅ แคมเปญฟิชชิ่งใช้บัญชี Booking.com และ Expedia ที่ถูกแฮก
➡️ แฮกเกอร์ใช้ข้อมูลจองจริงของลูกค้าเพื่อเพิ่มความน่าเชื่อถือ
➡️ อีเมลปลอมมีหัวข้อเช่น “New guest message” หรือ “New last-minute booking”
✅ การโจมตีใช้เทคนิค ClickFix Infection Chain
➡️ เหยื่อถูกเปลี่ยนเส้นทางผ่านหลายโดเมนไปยังหน้าแอดมินปลอม
➡️ หน้าเว็บปลอมให้เหยื่อคัดลอกคำสั่ง PowerShell เพื่อรันมัลแวร์
✅ มัลแวร์ PureRAT ถูกใช้ในการควบคุมเครื่องเหยื่อ
➡️ มีความสามารถในการขโมยข้อมูล ควบคุมกล้อง ไมโครโฟน และรันคำสั่ง
➡️ ใช้เทคนิค reflective DLL loading เพื่อหลบการตรวจจับ
✅ ตลาดใต้ดินมีการซื้อขายบัญชีโรงแรมพร้อมข้อมูลลูกค้า
➡️ ราคาขึ้นอยู่กับระดับสิทธิ์ของบัญชี บางบัญชีขายได้หลายพันดอลลาร์
➡️ กลุ่ม “moderator_booking” ทำรายได้กว่า 20 ล้านดอลลาร์จากกิจกรรมนี้
✅ ข้อมูลเสริมจากภายนอก
➡️ PureRAT เคยถูกใช้ในหลายแคมเปญโจมตีองค์กรทั่วโลก
➡️ การใช้ PowerShell เป็นเทคนิคยอดนิยมของแฮกเกอร์ เพราะสามารถรันคำสั่งได้โดยไม่ต้องติดตั้งโปรแกรม
➡️ Bulletproof hosting อย่างที่ใช้ในรัสเซียมักถูกใช้ซ่อนตัวตนของแฮกเกอร์
https://securityonline.info/booking-com-phishing-campaign-hijacks-hotel-accounts-to-deliver-purerat-via-clickfix-lure/
0 Comments
0 Shares
20 Views
0 Reviews
Thai