Segélykiáltás a Booking.com nevében
A támadás első lépése egy 100–200 ezer forint összegű, sürgető visszatérítést ígérő hamis e-mail, amely a Booking.com egyik vendégének lemondását színleli, az üzenetben lévő link pedig egy “low-house[.]com” címre vezet. Ezen az oldalon a valódi Booking.com megjelenését használták: színek, logók, betűtípusok mind megegyeznek, így egy laikus nehezen ismeri fel a csalást. Az oldalon egy hibát szimulálnak – túl hosszú betöltési időre hivatkoznak, majd egy gomb megnyomására szólítanak fel, amely látszólag frissítést ígér.
Önként telepített csapda
A frissítés helyett a böngésző teljes képernyőre vált, és megjelenik a hamis Windows BSOD képernyő. Az utasítás szerint a felhasználónak meg kell nyitnia a Windows Futtatás ablakát, be kell illesztenie egy – a vágólapra másolt – parancsot, majd azt el kell indítania. A valós BSOD ezzel szemben soha nem kínál helyreállítási lépéseket, de a csalódott vagy siető recepciósok könnyen belefuthatnak ebbe a csapdába.
Veszélyes következmények: távoli irányítás
Az első parancs PowerShellen futtat egy .NET-projektet, amelyet az MSBuild.exe fordít le, megkerüli a Windows Defendert, rendszergazdai jogokat kér, letölti a következő káros szoftvert, és beállítja magát automatikus indításra. A végleges kártevő, a staxs.exe nevű DCRAT, távoli hozzáférést biztosít a támadónak: képes távoli asztali elérésre, billentyűleütések naplózására, további kódok futtatására. Esetenként a támadók kriptovaluta‑bányász programot is telepítenek.
Miután megvan a behatolási pont, a támadók további gépekre is átterjedhetnek, adatokat lophatnak, vagy újabb rendszereket kompromittálhatnak, ha egyszer bedőlsz a trükkös „kék halálnak”.
