- تستهدف حملة التصيد الاحتيالي ClickFix الفنادق والنزلاء باستخدام برامج PureRAT الضارة
- يستغل المهاجمون حسابات Booking.com المخترقة ويبيعون بيانات الاعتماد المسروقة على منتديات الويب المظلمة
- تم خداع الضيوف في مواقع Booking/Expedia المزيفة، مما أدى إلى فقدان بيانات تسجيل الدخول وبطاقة الدفع
حذر الخبراء من أن الفنادق وضيوفها مستهدفون من خلال حملة ClickFix شديدة التطور تهدف إلى تقديم برامج ضارة خطيرة وسرقة بيانات اعتماد تسجيل الدخول وإجراء معاملات مصرفية احتيالية.
كشف باحثو الأمن السيبراني سيكويا أن المهاجمين سيستخدمون أولاً حسابات بريد إلكتروني عشوائية ومخترقة لإرسال بريد إلكتروني إلى الفنادق وأصحاب حسابات Booking.com المختلفين برسالة تصيد. يؤدي الرابط الموجود في الرسالة إلى تشغيل سلسلة إعادة توجيه تؤدي في النهاية إلى تحدي reCAPTCHA مزيف، وهو مصمم لجعل الضحايا يقومون بتنزيل وتثبيت حصان طروادة للوصول عن بعد يسمى PureRAT.
وأوضح سيكويا أن المهاجمين حريصون على التأكد من أنهم يستهدفون الأشخاص المناسبين. في منتديات الويب المظلمة، مثل LolzTeam، يشترون معلومات حول مسؤولي مؤسسة Booking.com، وفي بعض السيناريوهات، يعرضون حتى حصة مقابل معلومات اتصال صالحة.
سرقة بيانات بطاقة الائتمان
وأوضح باحثو سيكويا أن “حسابات Booking.com على الشبكة الخارجية تلعب دوراً حاسماً في المخططات الاحتيالية التي تستهدف صناعة الضيافة”.
“وبالتالي، أصبحت البيانات التي يتم جمعها من هذه الحسابات سلعة مربحة، ويتم عرضها بانتظام للبيع في الأسواق غير المشروعة.”
PureRAT قادر على القيام بجميع أنواع الأشياء السيئة – بدءًا من منح الوصول عن بعد وحتى السماح للمهاجمين بالتحكم في الماوس ولوحة المفاتيح. يمكنه أيضًا التحكم في كاميرا الويب والميكروفون لالتقاط الصوت والفيديو، ويمكنه تسجيل ضغطات المفاتيح، وتحميل/تنزيل ملفات إضافية.
ومع ذلك، يبدو أن المهاجمين يستخدمونه لتحديد عملاء الفندق. بعد ذلك، يبدأون في إرسالها بالبريد، بالإضافة إلى إرسال رسائل WhatsApp مخصصة، تحتوي على تفاصيل الحجز الحقيقية لجعل عمليات الاحتيال تبدو مشروعة.
تحتوي هذه الرسائل أيضًا على روابط تصيدية تعيد توجيه الضحايا إلى مواقع Booking أو Expedia المزيفة، حيث يتم الاستيلاء على بيانات الاعتماد الخاصة بهم، بالإضافة إلى معلومات بطاقة الائتمان، إذا قام المستلمون بتسجيل الدخول.
لا نعرف عدد الفنادق أو الأشخاص الذين تعرضوا للاختراق بسبب هذه الحملة، لكن سيكويا تقول إنها كانت نشطة منذ أبريل 2025 على الأقل، وتعمل اعتبارًا من أوائل أكتوبر 2025.
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات