I cibercriminali si spacciano per Booking.com in un nuovo attacco di phishing

Microsoft ha individuato una campagna di phishing in corso che prende di mira il personale degli alberghi e degli ostelli, facendo finta di essere l’agenzia di viaggi Booking.com.

Il team di sicurezza di Microsoft ha identificato la campagna a dicembre 2024, proprio prima dell’intensa stagione delle vacanze natalizie. La truffa è ancora attiva a partire da febbraio 2025, colpendo organizzazioni in tutta l’America del Nord, Europa, Oceania e parti dell’Asia.

Gli aggressori inviano email fasulle che sembrano provenire da Booking.com, facendo riferimento a recensioni negative degli ospiti, richieste di prenotazione urgenti o necessità di verifica dell’account. Queste email contengono link che portano a una pagina web ingannevole progettata per assomigliare a Booking.com.

Su questo falso sito web, le vittime vengono invitate a completare una verifica CAPTCHA, ma invece di un vero controllo di sicurezza, vengono istruite ad aprire una speciale finestra di comando sul loro computer e incollare un codice fornito. Quest’azione scarica ed esegue un malware in grado di rubare informazioni sensibili.

Il malware distribuito in questo attacco include diversi strumenti di hacking ben noti, come XWorm, VenomRAT e AsyncRAT.

Questi programmi consentono ai cybercriminali di prendere il controllo dei dispositivi infetti, catturare le password e commettere frodi finanziarie. Microsoft ha collegato questa attività a un gruppo di hacker che chiama Storm-1865, che in precedenza ha preso di mira piattaforme di e-commerce e ospiti di hotel utilizzando tattiche simili.

L’aggiunta di questo nuovo metodo, noto come “ClickFix“, mostra come gli attaccanti si stiano evolvendo per bypassare le difese di sicurezza. Facendo compiere alla vittima azioni specifiche, come copiare e incollare un codice, possono evitare il rilevamento automatico da parte dei filtri email e del software antivirus.

Un portavoce di Booking.com ha chiarito che l’attacco non comporta una violazione della sicurezza sulla loro piattaforma.

“Pur potendo confermare che i sistemi di Booking.com non sono stati violati, siamo consapevoli che, sfortunatamente, alcuni dei nostri partner di alloggio e clienti sono stati colpiti da attacchi di phishing inviati da criminali professionisti, con l’intento criminale di prendere il controllo dei loro sistemi informatici locali con malware”, hanno dichiarato, come riportato da The Record.

Microsoft consiglia alle aziende di applicare l’autenticazione multi-fattore, utilizzare strumenti di filtraggio delle email per scansionare i tentativi di phishing e assicurarsi che il personale sia formato per riconoscere le email sospette. Con i cybercriminali che affinano costantemente le loro tattiche, rimanere vigili contro gli attacchi di phishing è fondamentale, specialmente nelle industrie che gestiscono dati sensibili dei clienti.