飯店業成駭客新目標！大規模ClickFix釣魚攻擊散布PureRAT惡意軟體

2025 / 11 / 14

編輯部

資安業者 Sekoia 揭露一起針對飯店業的大規模釣魚攻擊。駭客運用 ClickFix 社交工程手法，誘騙飯店管理人員安裝 PureRAT 惡意軟體，藉此竊取訂房平台的登入憑證。這波攻擊最早可追溯至 2025 年 4 月，至今仍持續進行。

攻擊手法：偽裝成 Booking.com 郵件誘騙受害者

攻擊者首先入侵飯店業者的電子郵件帳號，再冒用這些帳號向多國飯店發送釣魚郵件。這些郵件偽裝成來自 Booking.com 的通知，誘騙收件者點擊惡意連結。

受害者點擊連結後會經過多次重新導向，最終來到一個假冒的 reCAPTCHA 驗證頁面，聲稱需要「確保您的連線安全」。專家分析發現，該頁面內含 JavaScript 程式碼，會先檢查網頁是否在 iframe 中顯示，再將使用者重新導向至 HTTP 協定的相同網址。

頁面會指示受害者複製並執行一段 PowerShell 指令，收集系統資訊並下載 ZIP 壓縮檔。解壓縮後，執行檔會透過 DLL 側載(DLL side-loading)技術植入 PureRAT 惡意軟體，同時在系統中建立持久性機制。

PureRAT 功能強大且難以分析

PureRAT（也稱為 zgRAT）是一款模組化的遠端存取木馬程式（RAT），具備多種進階功能：遠端控制、滑鼠鍵盤操作、網路攝影機與麥克風擷取、鍵盤側錄（keylogging）、檔案上傳下載、流量代理、資料外洩，以及遠端執行指令或執行檔。

為了增加分析難度，PureRAT 使用 .NET Reactor 進行保護，這項技術能有效阻礙逆向工程。此外，惡意軟體會在 Windows 登錄檔中建立 Run 機碼，確保系統重新啟動後仍能自動執行。

竊取憑證後發動詐騙攻擊

駭客取得 Booking.com 或 Expedia 等訂房平台的管理員憑證後，會將這些帳號在地下論壇販售，或直接用來對飯店客戶發動詐騙。

攻擊者透過 WhatsApp 或電子郵件聯繫飯店客戶，訊息中包含真實的訂房資訊，要求客戶點擊連結進行「驗證」並確認信用卡資料，聲稱這是避免訂單被取消的必要步驟。客戶點擊連結後，會被導向仿冒的 Booking.com 或 Expedia 頁面，這些頁面實際上是用來竊取信用卡資訊的釣魚網站。

地下產業鏈分工明確

調查顯示，攻擊者會從 LolzTeam 等地下犯罪論壇取得 Booking.com 管理員的個資，有些情況下甚至會提供利潤分成作為報酬。這些資料隨後被用於社交工程攻擊，誘騙管理員在系統中安裝資訊竊取程式或遠端存取木馬。

惡意軟體的散布工作通常外包給專門的「流量專家」(traffers)處理。竊取到的 Booking.com 帳號憑證會以 Cookie 或帳號密碼的形式在黑市交易，成為利潤豐厚的商品。

研究人員發現一個專門販售 Booking.com 登入資訊的 Telegram 機器人，以及一名自稱「moderator_booking」的威脅行為者。對方宣稱提供 Booking.com、Expedia、Airbnb 和 Agoda 等平台的登入資訊，並承諾在 24 至 48 小時內完成人工驗證。

犯罪論壇上出現價格低至 40 美元的「日誌檢查工具」（log checker tools），可透過代理伺服器驗證被竊帳號是否仍然有效。Sekoia 指出，支援每個攻擊環節的網路犯罪服務持續增加，顯示這類詐騙已走向專業化。透過「即服務」（as-a-service）商業模式，網路犯罪分子降低了參與門檻，同時提高獲利。

ClickFix 技術持續進化

更有研究揭露新，版釣魚頁面加入嵌入式教學影片、倒數計時器，以及「過去一小時已驗證使用者人數」計數器，營造真實感並施加時間壓力，誘使受害者在未經思考的情況下完成驗證步驟。

這些頁面能根據受害者的作業系統自動調整顯示內容：針對 Windows 使用者顯示開啟「執行」對話框的指示，針對 macOS 使用者則顯示開啟終端機（Terminal）應用程式的說明。此外，頁面還會透過剪貼簿劫持（clipboard hijacking）技術，自動將惡意程式碼複製到使用者的剪貼簿中。

根據微軟 2025 年數位防禦報告，ClickFix 已成為過去一年最常見的初始入侵手法，佔所有攻擊案例的 47%。這類釣魚誘餌透過多種管道散布，包括電子郵件、即時通訊軟體、社群網路、應用程式內釣魚，以及惡意廣告（在搜尋引擎、YouTube 和 Steam 平台）。目前，惡意廣告和 Google 搜尋結果中的高排名頁面已成為 ClickFix 攻擊的主要傳播途徑。