Недавняя кампания по фишингу, действующая как минимум с апреля 2025 года, нацелена на индустрию гостеприимства — в первую очередь на клиентов, связанных с Booking.com. Атакующие используют скомпрометированные учетные записи электронной почты отелей, персонализированные данные бронирований и современные техники доставки вредоносного кода, чтобы повысить достоверность сообщений и получить несанкционированный доступ к компьютерам жертв.
Как работает атака
Сценарий атаки многозвенный и строится на сочетании социальных методов и технических приёмов:
- Вредоносные письма отправляются со взломанных почтовых ящиков отелей, часто так, что создаётся впечатление отправки от Booking.com;
- Сообщение содержит URL, который перенаправляет пользователя на размещённую страницу, имитирующую фирменный стиль Booking.com;
- На фишинговой странице применяется тактика «ClickFix», побуждающая жертву выполнить команды JavaScript;
- Через имитацию CAPTCHA пользователь непреднамеренно запускает команду PowerShell, которая загружает дополнительные команды и вредоносный код с контролируемого злоумышленниками URL;
- В качестве основного полезного груза используется троян удалённого доступа PureRAT, распространяемый разработчиком PureCoder. После выполнения команд PowerShell злоумышленники получают удалённый доступ и контроль над машиной жертвы;
- Параллельно злоумышленники контактируют с клиентами отелей через WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta) или электронную почту, подделывая сообщения о «протоколах безопасности» и подталкивая к подтверждению банковских реквизитов на фишинговых страницах.
«На этих страницах используется тактика «ClickFix», побуждающая жертв выполнять команды JavaScript.»
Технические детали закрепления и уклонения от обнаружения
Атакующие применяют приёмы, усложняющие обнаружение и анализ инцидента:
- Закрепление осуществляется через изменения в разделе реестра Windows и загрузку вредоносного кода в память без оставления больших следов в файловой системе;
- Для инъекции и выполнения кода злоумышленники используют легитимные компоненты Windows, в том числе AddInProcess32.exe, что позволяет загружать вредоносный код непосредственно в память;
- Такая техника (reflective loading и инъекция в процессы) снижает вероятность обнаружения традиционными AV-решениями и усложняет расследование;
- Для подготовки целевых списков злоумышленники используют сервисы по сбору контактов администраторов отелей и инструменты вроде «проверка журналов» — ПО, которое автоматизированно проверяет скомпрометированные учётные записи на соответствие требованиям Booking.com через попытки автоматической аутентификации.
Экосистема преступников и рынок украденных данных
Анализ показывает, что торговля и обсуждение данных клиентов Booking.com ведутся на форумах Dark Web с 2022 года. Там же предлагаются сервисы сбора, проверки и продажи компрометированных учётных записей и контактной информации администраторов отелей. Такая развитая экосистема ускоряет подготовку целевых кампаний и расширяет масштаб атак.
Последствия для организаций и рекомендации
Последствия успешной компрометации включают утечку персональных данных клиентов, финансовое мошенничество, длительный несанкционированный доступ к инфраструктуре и повреждение репутации отелей и сервисов бронирования. Чтобы уменьшить риски, рекомендуется следующее:
- Включить многофакторную аутентификацию (MFA) для учётных записей сотрудников и администраторов;
- Проверять подлинность сообщений, требующих подтверждения финансовых реквизитов, и связываться с отправителем через независимые каналы;
- Ограничить возможности удалённого выполнения скриптов и усилить мониторинг команд PowerShell (включая логирование и блокировку подозрительных команд);
- Использовать EDR/NGAV с возможностью мониторинга поведения процессов и обнаружения инъекций в память;
- Проводить регулярные тренинги для сотрудников гостиниц по распознаванию фишинга и безопасной работе с электронными письмами и мессенджерами;
- Оперативно реагировать на утечки и подозрительные контакты: изолировать пострадавшие машины, собрать артефакты и провести анализ цепочки внедрения.
Ключевой вывод: злоумышленники комбинируют социальную инженерию, доступ к скомпрометированным почтовым ящикам и сложные технические приёмы (инъекция в память, использование легитимных исполняемых файлов) для доставки PureRAT и получения контроля над системами. Индустрия гостеприимства должна усилить контроль доступа, мониторинг и подготовку персонала, чтобы снизить вероятность успешных атак.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Фишинговая кампания против Booking.com: PureRAT и скомпрометированные почты".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.