虚假的Booking.com电子邮件通过虚假的CAPTCHA诱骗酒店员工运行AsyncRAT恶意软件，以带有远程访问木马的系统为目标。

一项新的网络钓鱼活动正利用伪造的 Booking.com 邮箱地址瞄准酒店员工，诱骗受害者在其系统上执行恶意命令。该骗局似乎经过精心策划，将社会工程学与 AsyncRAT 病毒的最终目标相结合，最终目的是感染并入侵酒店网络。

攻击始于一条看似来自Booking.com的消息。该邮件声称一位客人遗失了重要的个人物品，并敦促酒店经理点击“查看客人信息”按钮。

这封电子邮件礼貌而紧急，而且设计得看起来合法，是典型的社会工程学尝试，旨在诱骗人们不假思索地点击。

点击该链接会将用户带到一个类似的Booking.com网站，托管在：booking.partlet-id739847.com。该页面最初会显示一个验证码，要求访问者确认他们不是机器人。

选中该复选框后，用户会看到一些更加可疑的内容——一组指令，要求他们按下WIN + R键（打开Windows运行对话框），然后按下CTRL + V和Enter键。这个技巧利用剪贴板传递并执行一个隐藏的命令。

对该骗局中传播的恶意软件进行安全分析后发现，它是一种远程访问木马 AsyncRAT。该恶意软件自 2019 年下半年起活跃，因其开源和高度可定制的特性，在网络犯罪分子中广受欢迎。

AsyncRAT 具有以下功能：
1. 按键记录
2. 远程桌面查看
3. 文件访问和数据盗窃
4. 安装额外的payload
5. 对受感染系统的持续控制
6. 过去几年，AsyncRAT一直活跃于网络攻击中。2021年5月，微软观察到AsyncRAT针对航空航天和旅游机构发起攻击。到2021年11月，安全研究人员发现它与其他恶意软件家族一起传播，用于感染系统并窃取加密货币。

2023年6月，网络安全公司eSentire报告了一个名为DcRAT的新变种，该变种嵌入在OnlyFans相关内容中，是AsyncRAT的更名版本。2024年1月，该恶意软件被发现针对美国的关键基础设施，这次使用恶意GIF和SVG文件来传递有效载荷。

MSBuild.exe该恶意软件通过合法的Windows实用程序运行，从而帮助其逃避某些防病毒工具的检测。它会将自身安装在目录中，并通过端口%AppData%与命令与控制服务器进行通信。

与旨在窃取密码的普通网络钓鱼活动不同，这次攻击的手段更加深入。它会引导用户手动执行恶意软件，这是一种巧妙地绕过安全限制并避免触发下载的方法。

如果成功，攻击者可以完全远程访问酒店系统，从而使客户数据、预订信息和付款记录面临风险。

酒店和员工小贴士
1. 切勿点击未经请求的电子邮件中的链接，即使它们看起来是官方的。
2. 不要通过电子邮件或网站上的指示运行命令，尤其是涉及 Windows 运行对话框的任何命令。
3. 检查域名，真正的 Booking.com 链接不包含额外的子域名，例如partlet-id739847。
4. 通过官方合作伙伴支持渠道直接向Booking.com报告可疑消息。

此次攻击活动只是网络钓鱼如何将现实品牌宣传与恶意软件执行策略相结合，从而构成威胁的又一例证。酒店经理和员工应保持警惕，谨慎处理任何涉及客人数据的意外电子邮件。