Booking.comを装ったフィッシング攻撃とソーシャルエンジニアリングで認証情報窃取マルウェアを配布

Microsoft Threat Intelligence のレポートによると、Booking.com を装ったフィッシング攻撃キャンペーンがホテルやリラクゼーションなどのホスピタリティ業界の組織をターゲットにしており、新しいソーシャル エンジニアリングの手法「ClickFix」を活用して認証情報を盗むマルウェアを配信しています。

フィッシング攻撃の概要

このフィッシング攻撃はStorm-1865とよばれる脅威アクターが実行しており、北米、オセアニア、南アジア、東南アジア、ヨーロッパ全域のホテルやリラクゼーションなどのホスピタリティ業界の関係者を標的としています。

被害者は、Booking.comを装ったフィッシングメールを受信し、ClickFix と呼ばれるソーシャル エンジニアリング手法を使用して、複数の認証情報を盗むマルウェアを配信しています。

このサイバー攻撃は2024年12月に観測され2025年2月現在も継続中です。

ClickFixの概要

サイバー攻撃者は偽のエラー メッセージや指示を表示して、ターゲット ユーザーにコマンドのコピー、貼り付け、実行による問題の解決を指示し、最終的にマルウェアのダウンロードに繋げます。

このユーザー操作の必要性により、攻撃が従来の自動セキュリティ機能をすり抜ける可能性があります。

フィッシングメールの例

以下複数のフィッシングメールのサンプルが提示されています。

以下サンプル以外にもオンラインプロモーションの促進や見込み顧客からの問い合わせや依頼など多岐にわたる内容が配信されています。

宿泊予定者からのメールを装ったフィッシング メールのサンプル

画像：Microsoft

宿泊者からのマイナスなフィードバックに対応するように依頼するフィッシングメールのサンプル

画像：Microsoft

 Booking.com アカウントの確認を求めるフィッシング メール

画像：Microsoft

偽のCAPTCHAで安心感を与える

フィッシングメールをクリックすると、Booking.comのフィッシングサイトへ遷移します。

遷移先のサイトでは、CAPTCHAが表示され、「セキュリティ確認」の演出がされます。

偽の CAPTCHAの注意文では、キーボード ショートカットを使用して Windows 実行ウィンドウを開き、Web ページがクリップボードに追加するコマンドを貼り付けて起動するようにユーザーに指示します。

この指示に従うとmshta.exeを介してマルウェアをダウンロード・実行します。

画像：Microsoft

被害内容と確認されたマルウェア

この攻撃で使用されたマルウェアは以下の通りです。

• XWorm
• Lumma Stealer
• VenomRAT
• AsyncRAT
• Danabot
• NetSupport RAT

これらのマルウェアは、会計データやアカウントの認証情報を窃取し、不正利用する機能を持っています。

組織向けの推奨対策

• 多要素認証（MFA）の徹底
• Microsoft Defender for Office 365でのSafe Links機能の有効化
• Microsoft Defender SmartScreenの利用
• クラウド保護機能の有効化
• ネットワーク保護の有効化
• ゼロアワー自動削除（ZAP）の有効化
• Microsoft Defender XDRの活用による攻撃面の削減