Malwarebytes Labs cảnh báo người dùng bị nhiễm AsyncRat, một trojan truy cập từ xa (RAT) được thiết kế để theo dõi và kiểm soát máy tính, thu thập thông tin nhạy cảm và thông tin tài chính, dẫn đến thiệt hại tài chính và thậm chí là đánh cắp danh tính.

Tội phạm mạng lợi dụng một chương trình Fake Captcha được ghi chép rõ ràng, nhưng điều bất ngờ là chúng mạo danh Booking.com, một trong những công ty lữ hành trực tuyến lớn nhất.

Các nhà nghiên cứu giải thích trong một báo cáo rằng "Bốn mươi phần trăm người dùng đặt tour du lịch thông qua tìm kiếm trực tuyến chung, tạo ra nhiều cơ hội cho những kẻ lừa đảo".

Chiến dịch bắt đầu vào giữa tháng 5 vừa qua và tin tặc luân phiên tạo ra các liên kết độc hại sau mỗi hai đến ba ngày.

Nếu nạn nhân không nghi ngờ gì khi nhấp vào quảng cáo hoặc liên kết giả mạo, tại đây họ sẽ được yêu cầu họ chứng minh mình không phải là rô-bốt bằng cách thực hiện một vài bước đơn giản. Tuy nhiên, các hướng dẫn áp đặt được thiết kế để lừa người dùng tự tải phần mềm độc hại.

"Bằng cách đánh dấu vào dấu kiểm trong lời nhắc Captcha giả, bạn đang cấp cho trang web quyền sao chép thứ gì đó vào bảng tạm của mình. Sau đó, những kẻ lừa đảo sẽ cố gắng để người dùng truy cập và thực hiện lệnh Chạy trên máy tính của họ. Loại lời nhắc này không bao giờ được sử dụng trong các biểu mẫu Captcha hợp lệ và mọi người cần phải hết sức cảnh giác", Malwarebytes cảnh báo.

Nền tảng Chrome có thể đưa ra cảnh báo rằng, trang web giả muốn xem văn bản và hình ảnh được sao chép vào bảng tạm, nhưng cảnh báo này mơ hồ và có thể không rõ ràng đối với nhiều người dùng vì nó không phản ánh ý định của tin tặc.

Vậy điều gì đang xảy ra đằng sau hậu trường?

Người dùng khởi chạy hộp Chạy và dán một tập lệnh vào đó. Tập lệnh được ngụy trang bằng cách sử dụng chữ hoa chữ thường, ngắt dấu ngoặc kép và thao tác tên biến, do đó người dùng sẽ không nghi ngờ bất cứ điều gì. Sau đó, nó mở một cửa sổ PowerShell ẩn, tải xuống RAT và cài đặt nó.

Tin tặc đã bị phát hiện sử dụng ít nhất 14 địa chỉ trang web khác nhau trong chiến dịch này. Malwarebytes khuyến cáo người dùng không được làm theo các hướng dẫn đáng ngờ, đặc biệt là các hướng dẫn truy cập mà không có thời gian suy tính. Việc sử dụng giải pháp chống phần mềm độc hại và tiện ích mở rộng trình duyệt chặn tên miền và lừa đảo có thể giúp tránh được mối đe dọa.

Booking.com là một mồi nhử thường được tội phạm mạng sử dụng. Tin tặc trước đây cũng đã nhắm mục tiêu vào các máy chủ trên nền tảng bằng phần mềm độc hại đánh cắp thông tin đăng nhập và tung ra các vụ lừa đảo nhắm vào nhân viên khách sạn.