網路訂房卻被植入惡意軟體 駭客如何用擬真Booking.com入侵你的電腦？

記者孫敬／編譯

外媒近期報導，有網路犯罪分子針對旅遊訂房網站「Booking.com」，部署了名為AsyncRAT的惡意軟體，讓使用者從遊戲網站、社群媒體平台和贊助廣告重新導向至高度擬真的假冒訂房網站。這些網站的設計旨在誘騙訪客裝置，使其在不知不覺中受到感染。

此次攻擊之所以成功，正是因為高達40%的民眾習慣透過一般線上搜尋來預訂旅行，這為網路犯罪分子創造了大量的利用機會。這場惡意活動運用欺騙性的策略，誘騙受害者透過看似合法的互動，自願感染自己的系統。

延伸閱讀：資安事件從何來？趨勢科技點出73%未受管理的資產成攻擊來源

新型CAPTCHA騙局：惡意程式碼自動複製，誘騙用戶執行指令

一旦使用者登陸這些詐騙性的訂房網站，他們會遇到一個看似標準的CAPTCHA驗證提示，這在合法網站上是一種常見的安全措施。然而，這個假的CAPTCHA卻成為惡意軟體分發機制的入口點。

Malwarebytes分析師指出，這些假冒的CAPTCHA提示會在受害者不知情的情況下，自動將惡意的PowerShell指令複製到剪貼簿。 這些被複製的內容，由於攻擊者使用了代碼混淆（包括大小寫混用、引號中斷和變數名稱操弄），最初會顯示為亂碼文字。

當這些惡意指令被解碼後，它會顯示出一個PowerShell腳本，該腳本旨在下載並執行惡意軟體。被混淆的指令原始碼當執行時，會啟動一個隱藏的PowerShell視窗，該視窗會下載一個惡意執行檔，隨後再下載並執行另一個程式，最終在受害者的系統上部署AsyncRAT後門程式。

這次攻擊的複雜之處在於，它利用了使用者對常見網路互動的信任和熟悉度。在惡意內容被複製到剪貼簿後，受害者會收到指示，要求他們透過Windows的「執行」對話框貼上並執行這些指令，並聲稱這是完成訂房流程的必要步驟。這種社交工程手法將受害者轉變為不知情的幫兇，因為他們在相信自己正在遵循合法網站程序的同時，卻積極參與了惡意軟體的安裝。

瀏覽 978 次