새로운 피싱 공격에서 사이버범죄자들이 Booking.com을 가장하다

Microsoft는 여행사 Booking.com을 가장하여 호텔 및 호스텔 직원을 대상으로 한 지속적인 피싱 캠페인을 확인하였습니다.

Microsoft의 보안 팀은 2024년 12월, 바쁜 연말 여행 시즌 직전에 이 캠페인을 발견했습니다. 이 사기는 2025년 2월 현재까지도 활발하게 진행 중이며, 북아메리카, 유럽, 오세아니아, 그리고 아시아의 일부 지역에 걸친 조직들에게 영향을 미치고 있습니다.

공격자들은 부정적인 손님 리뷰, 긴급한 예약 요청 또는 계정 인증 필요에 대해 언급하는, Booking.com에서 온 것처럼 보이는 가짜 이메일을 보냅니다. 이 이메일들에는 Booking.com을 흉내 낸 기만적인 웹페이지로 이어주는 링크가 포함되어 있습니다.

이 가짜 웹사이트에서, 피해자들은 CAPTCHA 인증을 완료하도록 요구받지만, 실제 보안 검사 대신 그들은 컴퓨터에서 특수 명령 창을 열고 제공된 코드를 붙여넣도록 지시받습니다. 이 행동은 민감한 정보를 훔칠 수 있는 악성 소프트웨어를 다운로드하고 실행합니다.

이 공격에서 전달된 악성 소프트웨어는 XWorm, VenomRAT, AsyncRAT와 같은 잘 알려진 해킹 도구를 여러 개 포함하고 있습니다.

이 프로그램들을 통해 사이버 범죄자들은 감염된 장치를 제어하고, 비밀번호를 캡처하며, 금융 사기를 저지를 수 있습니다. Microsoft는 이러한 활동을 Storm-1865라는 해커 그룹과 연결시켰으며, 해당 그룹은 이전에도 비슷한 전략을 사용하여 전자 상거래 플랫폼과 호텔 투숙객을 대상으로 했습니다.

이 새로운 방법의 추가, “ClickFix“라 알려진 것은 공격자들이 보안 방어를 우회하기 위해 어떻게 진화하고 있는지 보여줍니다. 피해자가 특정 행동을 취하게 하여, 예를 들어 코드를 복사하고 붙여넣는 일을 하게 함으로써, 이들은 이메일 필터와 애티바이러스 소프트웨어의 자동 탐지를 피할 수 있습니다.

Booking.com 대변인은 이 공격이 그들의 플랫폼에서의 보안 위반과 관련이 없다고 명확히 했습니다.

“Booking.com의 시스템이 침해당한 것은 아니라는 것을 확인할 수 있지만, 불행히도 일부 숙박 파트너와 고객들이 악의적으로 컴퓨터 시스템을 장악하려는 의도를 가진 전문 범죄자들에 의한 피싱 공격에 피해를 입었다는 사실을 알고 있습니다,”라고 그들은 전했으며, 이는 The Record에서 보도했습니다.

Microsoft는 기업들에게 다요인 인증을 강제하고, 피싱 시도를 검색하기 위해 이메일 필터링 도구를 사용하며, 직원들이 의심스러운 이메일을 인식하도록 훈련시키는 것을 권장합니다. 사이버 범죄자들이 계속해서 그들의 전략을 개선하고 있기 때문에, 피싱 공격에 대해 경계를 유지하는 것은 중요한데, 특히 고객의 민감한 데이터를 다루는 산업에서 그러하다고 할 수 있습니다.