Usurpation d'identité sur Booking.com
24 février 2025
Ce que vous apprendrez dans cette notification
- Ciblant principalement le secteur de l'hôtellerie-restauration au Royaume-Uni
- L'opération utilise la technique « Clickfix » pour renforcer son efficacité
- Malware associé à ces campagnes a été identifié comme étant LummaC, un programme de vol d'informations très répandu
Les chercheurs en cybersécurité de Mimecast ont observé une campagne de malware utilisant Sendinblue (désormais Brevo) pour sa diffusion (référencée en interne sous le nom de MCTO1020). Brevo est une plateforme marketing tout-en-un proposant des outils de messagerie électronique, de SMS, d'automatisation et de gestion de la relation client (CRM) destinés à favoriser l'engagement client. Ces campagnes consistent principalement à utiliser des leurres liés à des problèmes de réservation pour inciter les utilisateurs à cliquer sur des liens qui semblent provenir de booking.com. Cependant, ces liens utilisent le service de redirection Sendinblue/Brevo pour suivre les clics et rediriger les utilisateurs vers des sites malveillants appartenant aux auteurs de cette attaque. Étant donné que la plupart des utilisateurs accèdent à des sites web personnels depuis des appareils d'entreprise, il est important de souligner comment les services personnels sont utilisés pour cibler ces appareils.
Une fois redirigé, l'utilisateur voit s'afficher la page CAPTCHA ci-dessous, qui contient des instructions lui demandant de copier-coller des commandes dans le presse-papiers dans le cadre d'une étape de vérification à effectuer dans l'invite de commande.
Une fois que l'utilisateur aura exécuté la commande, un logiciel de vol d'informations sera téléchargé ; dans ce cas précis, le malware identifié est LummaC, qui cible généralement les identifiants, les données de navigation et les portefeuilles de cryptomonnaies.
Cette campagne, qui utilise Brevo comme moyen de diffusion et de redirection, a été observée pour la première fois début janvier avec des volumes faibles, puis a connu une forte augmentation à la mi-janvier et à la fin du mois. Étant donné que les cibles étaient des hôtels, des chaînes hôtelières, des complexes touristiques, etc., cela correspond au fait que les gens réservent leurs vacances pour l'année à venir bien à l'avance afin de s'organiser.
Protection Mimecast
Nous avons identifié plusieurs attributs dans les campagnes qui ont été ajoutés à nos capacités de détection.
Ciblage :
Royaume-Uni, secteur de l'hôtellerie-restauration
CIO :
URL
admin-booking-service[.]com
adminbokingcapha64578[.]com
booking[.]parner-id-010101743[.]com
commentsvisitor58100[.]world
commentairesvisiteur589360[.]world
concernguest68549[.]com
concernguest74549[.]com
feedbackguest485100[.]world
feedbackguest485121[.]world
feedbackguest48594821[.]world
feedbackguest84560[.]world
page-de-commentaires91293[.]world
issueguest423239[.]world
issueguest495139[.]world
parner-id-010101743[.]com
parner-id1501202500[.]com
reportguest4893921[.]world
reportguest4895921[.]world
roomsattendes999923[.]world
roomsvisitor9934224[.]world
Techniques et procédures tactiques
T1566.002 : Phishing : Hameçonnage ciblé (spear phishing) Lien
T1585.002 : Créer des comptes : comptes de messagerie
T1204.002 : Exécution par l'utilisateur : fichier malveillant
T1059.003 : Interpréteur de commandes et de scripts : ligne de commande Windows
T1547.001 : Exécution automatique au démarrage ou à la connexion : clés « Run » du Registre / dossier « Démarrage »
T1027 : Fichiers ou informations obscurcis
T1202 : Exécution indirecte de commandes
T1555 : Identifiants provenant de magasins de mots de passe
T1083 : Découverte de fichiers et de répertoires
T1518.001 : Identification des logiciels : Identification des logiciels de sécurité
T1113 : Capture d'écran
Recommandations
- Assurez-vous que la politique URL Protect est définie pour protéger l’organisation.
- Parcourez vos journaux de réception des e-mails afin de déterminer si des hachages de fichiers ont été transmis à vos utilisateurs.
- Sensibilisez les utilisateurs finaux à la nécessité d'éviter d'exécuter des commandes dans une ligne de commande.