マイクロソフトは4月3日、Booking.comのなりすましによるフィッシング攻撃が、認証情報窃盗マルウェアを配信したとブログ記事で発表した。
マイクロソフトの脅威インテリジェンスは2024年12月に、Booking.comになりすまし、ホスピタリティ業界の組織を狙ったフィッシングキャンペーンを確認している。この確認した攻撃では、ClickFixというソーシャルエンジニアリングの手法を使用して、複数の認証情報を盗むマルウェアを配信し、金融詐欺や窃盗を行っており、2025年2月時点でも継続されている。
このフィッシング攻撃は、Booking.comと取引する可能性が高い、主に北米、オセアニア、南アジア、東南アジア、北欧、南欧、東欧、西欧のホスピタリティ組織に所属する個人を標的としている。
ClickFixの手口は、人が問題を解決しようとする傾向を悪用するもので、偽のエラーメッセージやプロンプトを表示し、マルウェアのダウンロードにつながるコマンドをコピー、ペースト、起動することで問題を解決するよう標的のユーザーに指示する。ユーザーの操作が必要となるため、従来のセキュリティ機能や自動化されたセキュリティ機能をすり抜けて攻撃が実行される可能性があるとのこと。
マイクロソフトが確認した今回のフィッシング攻撃では、ユーザーはキーボードショートカットを使ってWindowsの「ファイル名を指定して実行」ウィンドウを開き、フィッシングページがクリップボードに追加したコマンドをペーストして実行するよう求めている。
同社では今回の攻撃キャンペーンを「Storm-1865」として追跡している。同社ブログでは、Storm-1865による攻撃の手口や、ユーザーや防御担当者がフィッシング活動を発見するための推奨事項を紹介している。
![中国企業情報漏洩で「検閲 as a Service」の一端明らかに ほか [Scan PREMIUM Monthly Executive Summary 2025年2月度] 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/47755.jpg)
