Cofense Intelligence发现，冒充Booking.com的ClickFix电子邮件诈骗数量激增，这些诈骗包含远程攻击工具(RAT)和信息窃取程序。了解这些复杂的攻击如何诱骗用户运行恶意软件，以及需要注意的事项。

Cofense Intelligence的网络安全专家警告连锁酒店及其他餐饮住宿行业的企业，警惕一种模仿Booking.com的电子邮件诈骗。这些欺骗性电子邮件是名为ClickFix的攻击活动的一部分，该活动旨在诱骗用户运行恶意软件。

自2024年11月以来，ClickFix广告系列的关注度稳步提升，近几个月更是显著加速。根据Cofense的分析，仅在2025年3月，ClickFix广告系列的广告投放量就达到了广告系列总投放量的47%，这一数字令人震惊。

该公司的主动威胁报告(ATR)显示，所有涉及伪造验证码的事件中，75%都使用了以Booking.com为主题的ClickFix模板。虽然Booking.com的冒充行为最为常见，但Cofense也注意到一些不太常见的变体，包括那些伪造Cloudflare Turnstile和Cookie同意横幅的变体。

诈骗始于一封包含虚假验证码(CAPTCHA)网站链接的电子邮件。CAPTCHA通常是一种区分人机的测试，例如输入扭曲的字母。但在本例中，虚假的CAPTCHA是一个骗局。点击它不会发送真正的验证码，而是会向用户的计算机发送有害脚本。

这些ClickFix网站会指示用户按下特定的键盘快捷键，通常是Windows键+R键，然后是Ctrl键+V键，最后是Enter。此操作会在Windows中打开“运行”命令，粘贴隐藏的恶意脚本，然后执行该脚本。恶意脚本通常包含一些看起来像验证码的额外字符，以隐藏真正的有害命令。

这些网站设计巧妙，看起来像是Booking.com和Cloudflare等知名品牌的合法页面。有趣的是，这些骗局只针对Windows电脑，如果在其他设备上访问，这些伪造的CAPTCHA网站会显示一条消息，表明它们仅适用于Windows。

一旦恶意脚本运行，它就会安装各种危险软件。这些攻击中最常见的负载是XWorm RAT，这是一种远程访问木马(RAT)。需要注意的是，RAT允许攻击者从远处秘密控制受害者的计算机。

其他常见的恶意软件包括Pure Logs Stealer和DanaBot，它们是旨在窃取敏感数据的信息窃取程序。在某些情况下，RAT和信息窃取程序会在一次攻击中同时出现。

ClickFix的这种新方法令人担忧，因为它会诱导用户自行激活恶意软件，而无需直接下载任何文件。这凸显了对可疑电子邮件保持警惕的重要性，即使是那些看似来自Booking.com等可靠来源的电子邮件，也应始终仔细检查任何验证步骤或要求您在计算机上运行命令的提示的合法性。