Sich als Booking.com ausgeben
24. Februar 2025
Was Sie in dieser Benachrichtigung erfahren
- Der Schwerpunkt liegt auf dem Gastgewerbe, vor allem in Großbritannien
- Im Rahmen der Operation kommt die „Clickfix“-Technik zum Einsatz, um deren Wirksamkeit zu steigern
- Die mit diesen Kampagnen in Verbindung stehende Malware wurde als „LummaC“ identifiziert, ein weit verbreiteter Infostealer
Die Bedrohungsforscher von Mimecast haben eine Malware-Kampagne beobachtet, bei der Sendinblue (jetzt Brevo) zur Verbreitung genutzt wird (intern als MCTO1020 erfasst). Brevo ist eine All-in-One-Marketingplattform, die E-Mail-, SMS-, Automatisierungs- und CRM-Tools für die Kundenbindung bietet. Im Mittelpunkt dieser Kampagnen steht der Einsatz von Lockangeboten im Zusammenhang mit Buchungsproblemen, um Nutzer dazu zu verleiten, auf Links zu klicken, die den Anschein erwecken, von booking.com zu stammen. Diese Links nutzen jedoch den Weiterleitungsdienst von Sendinblue/Brevo, um Klicks zu erfassen und auf bösartige Websites weiterzuleiten, die sich im Besitz der hinter dem Angriff stehenden Gruppe befinden. Da die meisten Nutzer über Unternehmensgeräte auf private Websites zugreifen, ist es wichtig, darauf hinzuweisen, wie private Dienste dazu genutzt werden, Unternehmensgeräte ins Visier zu nehmen.
Nach der Weiterleitung wird dem Benutzer die untenstehende CAPTCHA-Seite angezeigt, die Anweisungen enthält, Befehle als Teil eines Verifizierungsschritts in die Zwischenablage zu kopieren und dort einzufügen, um sie anschließend in der Eingabeaufforderung zu verwenden.
Sobald der Benutzer den Befehl ausführt, wird ein Infostealer heruntergeladen; in diesem Fall handelte es sich um die Malware „LummaC“, die in der Regel auf Anmeldedaten, Browserdaten und Kryptowährungs-Wallets abzielt.
Diese Kampagne, bei der Brevo als Verbreitungs- und Weiterleitungsmethode zum Einsatz kam, wurde erstmals Anfang Januar mit geringem Aufkommen beobachtet und nahm Mitte sowie Ende Januar deutlich zu. Da es sich bei den Zielen um Hotels, Hotelketten, Ferienanlagen usw. handelte, deckt sich dies mit der Tatsache, dass die Menschen ihre Urlaube für das kommende Jahr frühzeitig buchen, um gut vorbereitet zu sein.
Mimecast-Schutz
Wir haben in den Kampagnen mehrere Merkmale identifiziert, die in unsere Erkennungsfunktionen aufgenommen wurden.
Zielgruppenansprache:
Großbritannien, Gastgewerbe
IOCs:
URLs
admin-booking-service[.]com
adminbokingcapha64578[.]com
booking[.]parner-id-010101743[.]com
commentsvisitor58100[.]world
commentsvisitor589360[.]world
concernguest68549[.]com
concernguest74549[.]com
feedbackguest485100[.]world
feedbackguest485121[.]world
feedbackguest48594821[.]world
feedbackguest84560[.]world
feedbackpage91293[.]world
issueguest423239[.]world
issueguest495139[.]world
parner-id-010101743[.]com
parner-id1501202500[.]com
reportguest4893921[.]world
reportguest4895921[.]world
roomsattendes999923[.]world
Zimmerbesucher9934224[.]world
Taktische Techniken und Vorgehensweisen
T1566.002: Phishing: Spear-Phishing-Link
T1585.002: Konten einrichten: E-Mail-Konten
T1204.002: Ausführung durch den Benutzer: Schädliche Datei
T1059.003: Befehls- und Skript-Interpreter: Windows-Befehlsshell
T1547.001: Automatische Ausführung beim Systemstart oder bei der Anmeldung: „Run“-Schlüssel in der Registrierung / Autostart-Ordner
T1027: Verschleierte Dateien oder Informationen
T1202: Indirekte Befehlsausführung
T1555: Anmeldedaten aus Passwortspeichern
T1083: Erkennung von Dateien und Verzeichnissen
T1518.001: Software-Erkennung: Erkennung von Sicherheitssoftware
T1113: Bildschirmaufnahme
Empfehlungen
- Stellen Sie sicher, dass die Richtlinie „URL Protect“ so konfiguriert ist, dass sie Ihre Organisation schützt.
- Durchsuchen Sie Ihre E-Mail-Empfangsprotokolle, um festzustellen, ob Ihre Nutzer Dateihashes erhalten haben.
- Weisen Sie die Endbenutzer darauf hin, keine Befehle in der Eingabeaufforderung auszuführen.