Hackers estão utilizando sites falsos que imitam o Booking.com para disseminar o trojan de acesso remoto AsyncRat. A campanha, identificada pelo Malwarebytes Labs, se aproveita de mecanismos de busca, redes sociais e sites de jogos para atrair vítimas por meio de links e anúncios patrocinados.
Leia também
Reino Unido anuncia comando cibernético e eletromagnético
Envenenamento de modelos: risco de supply chain em IA
O golpe se baseia em uma página de verificação Captcha falsa. Ao seguir as instruções, o usuário acaba copiando comandos para a área de transferência e, em seguida, colando-os na caixa de execução do sistema. O código, ofuscado para parecer inofensivo, abre uma janela oculta do PowerShell, instala o malware e dá ao invasor controle total do dispositivo.
Segundo os pesquisadores, o site falso pode pedir permissão para acessar a área de transferência. Embora o navegador alerte, a mensagem pode ser ambígua e não revelar o real risco ao usuário. Ao menos 14 domínios diferentes já foram usados na campanha, iniciada em meados de maio.
O AsyncRat permite vigilância remota, roubo de dados financeiros e credenciais, podendo resultar em danos significativos, como roubo de identidade. A Malwarebytes orienta os usuários a não seguir instruções fornecidas por sites suspeitos, especialmente aquelas que envolvam copiar e colar comandos.
Fraudes com a marca do Booking.com são recorrentes. Cibercriminosos já atacaram tanto anfitriões quanto funcionários de hotéis, usando malware e phishing para roubo de informações.
