Microsoft ha rilevato una campagna di phishing che sfrutta il nome della nota piattaforma Booking.com per colpire aziende operanti nel settore dell’ospitalità. L’attacco, le cui prime tracce risalgono alla fine dello scorso anno, utilizza una tecnica di ingegneria sociale denominata ClickFix per installare malware capaci di sottrarre credenziali e informazioni finanziarie.
Booking.com e l’attacco ClickFix
La minaccia, identificata da Microsoft con il nome Storm-1865, prende di mira soprattutto il personale alberghiero e amministrativo operante in varie aree del mondo compresa tutta l’Europa. Le vittime ricevono delle email ingannevoli che simulano comunicazioni autentiche da Booking.com. Contengono invece falsi reclami degli ospiti, richieste di verifica degli account o opportunità promozionali in realtà inesistenti.
L’originalità della tecnica ClickFix risiede nella capacità di sfruttare la naturale tendenza umana a risolvere rapidamente problemi informatici. Alle vittime viene mostrato infatti un finto messaggio d’errore che le invita ad utilizzare una scorciatoia da tastiera per aprire il prompt “Esegui” di Windows e incollare un comando precedentemente copiato negli appunti da un sito web malevolo. Tale azione causa il download automatico del malware.
I payload distribuiti tramite questa tecnica includono diversi tipi di malware comuni tra cui XWorm, Lumma stealer, VenomRAT, AsyncRAT, Danabot e NetSupport RAT. Tutti questi software hanno l’obiettivo comune di accedere ad informazioni sensibili, come credenziali di accesso e dati bancari, per effettuare frodi finanziarie.
Storm-1865 non è una novità
Attività simili erano già state registrate nel 2023 contro degli operatori alberghieri e nel 2024 verso acquirenti su piattaforme di e-commerce. L’introduzione del ClickFix rappresenta però un elemento di novità preoccupante e rende più complesso il rilevamento automatico da parte delle tradizionali difese contro gli attacchi.
Microsoft ricorda che vigilanza e formazione rimangono degli strumenti essenziali nella lotta contro il phishing. Raccomanda quindi di formare attentamente gli utenti al riconoscimento delle email sospette, verificare sempre l’indirizzo del mittente, evitare di cliccare sui link direttamente dalle email e di diffidare di messaggi che sollecitano azioni immediate o presentano evidenti errori ortografici.