Una amenaza de palabra rusa detrás de una campaña de phishing masiva en curso ha registrado más de 4.300 nombres de dominio desde principios de año.
La actividad, según el investigador de seguridad de Netcraft, Andrew Brandt, está diseñada para dirigirse a clientes de la industria hotelera, específicamente a huéspedes de hoteles que pueden tener reservas de delirio con correos electrónicos no deseados. Se dice que la campaña comenzó en serio cerca de de febrero de 2025.
De los 4.344 dominios vinculados al ataque, 685 dominios contienen el nombre “Booking”, seguido de 18 con “Expedia”, 13 con “Agoda” y 12 con “Airbnb”, lo que indica un intento de apuntar a todas las plataformas populares de reserva y arriendo.
“La campaña en curso emplea un sofisticado kit de phishing que personaliza la página presentada al visitante del sitio dependiendo de una sujeción única en la ruta URL cuando el objetivo entrevista el sitio web por primera vez”, dijo Brandt. “Las personalizaciones utilizan los logotipos de las principales marcas de la industria de viajes en ristra, incluidas Airbnb y Booking.com”.
El ataque comienza con un correo electrónico de phishing que insta a los destinatarios a hacer clic en un enlace para confirmar su reserva interiormente de las próximas 24 horas utilizando una polímero de crédito. Si muerden el arponcillo, las víctimas son llevadas a un sitio simulado posteriormente de iniciar una sujeción de redireccionamientos. Estos sitios falsos siguen patrones de nombres consistentes para sus dominios, con frases como confirmación, reserva, cheque de huésped, comprobación de polímero o reserva para darles una ilusión de legalidad.
Las páginas admiten 43 idiomas diferentes, lo que permite a los actores de amenazas difundir una amplia red. Luego, la página indica a la víctima que pague un depósito por su reserva de hotel ingresando la información de su polímero. En el caso de que algún adjudicatario intente ingresar directamente a la página sin un identificador único llamado AD_CODE, será recibido con una página en blanco. Los sitios falsos asimismo cuentan con una comprobación CAPTCHA falsa que imita a Cloudflare para engañar al objetivo.
“A posteriori de la entrevista auténtico, el valencia AD_CODE se escribe en una cookie, lo que garantiza que las páginas siguientes presenten la misma apariencia de marca suplantada al visitante del sitio cuando hace clic en las páginas”, dijo Netcraft. Esto asimismo significa que cambiar el valencia “AD_CODE” en la URL produce una página dirigida a un hotel diferente en la misma plataforma de reservas.
Tan pronto como se ingresan los detalles de la polímero, anejo con los datos de vencimiento y el número CVV, la página intenta procesar una transacción en segundo plano, mientras aparece una ventana de “chat de soporte” en la pantalla con pasos para completar una supuesta “comprobación 3D Secure para su polímero de crédito” para ampararse contra reservas falsas.
La identidad del género de amenazas detrás de la campaña sigue siendo desconocida, pero el uso del ruso para los comentarios del código fuente y la salida del depurador alude a su procedencia o es un intento de atender a los posibles clientes del kit de phishing que pueden estar buscando personalizarlo para satisfacer sus micción.
La divulgación se produce días posteriormente de que Sekoia advirtiera sobre una campaña de phishing a gran escalera dirigida a la industria hotelera que atrae a los gerentes de hoteles a páginas estilo ClickFix y recolectan sus credenciales mediante la implementación de malware como PureRAT y luego se acercan a los clientes del hotel a través de WhatsApp o correos electrónicos con los detalles de su reserva y confirman su reserva haciendo clic en un enlace.
Curiosamente, uno de los indicadores compartidos por la empresa francesa de ciberseguridad (guestverifiy5313-booking(.)com/67122859) coincide con el patrón de dominio registrado por el actor de la amenaza (por ejemplo, verificarguets71561-booking(.)com), lo que plantea la posibilidad de que estos dos grupos de actividad puedan estar relacionados. The Hacker News se comunicó con Netcraft para solicitar comentarios y actualizaremos la historia si recibimos una respuesta.
En las últimas semanas, campañas de phishing a gran escalera asimismo se han hecho ocurrir por múltiples marcas como Microsoft, Adobe, WeTransfer, FedEx y DHL para robar credenciales mediante la distribución de archivos adjuntos HTML por correo electrónico. Los archivos HTML incrustados, una vez iniciados, muestran una página de inicio de sesión falsa, mientras que el código JavaScript captura las credenciales ingresadas por la víctima y las envía directamente a los robots de Telegram controlados por el atacante, dijo Cyble.
La campaña se ha dirigido principalmente a una amplia matiz de organizaciones de Europa Central y del Este, particularmente en la República Checa, Eslovaquia, Hungría y Alemania.
“Los atacantes distribuyen correos electrónicos de phishing haciéndose ocurrir por clientes o socios comerciales legítimos, solicitando cotizaciones o confirmaciones de facturas”, señaló la empresa. “Este enfoque regional es evidente a través de dominios de destinatarios específicos que pertenecen a empresas locales, distribuidores, entidades vinculadas al gobierno y empresas hoteleras que procesan asiduamente solicitudes de presupuesto y comunicaciones con proveedores”.
Encima, se han utilizado kits de phishing en una campaña a gran escalera dirigida a los clientes de Aruba SpA, uno de los proveedores de servicios de TI y alojamiento web más grandes de Italia, en un intento similar de robar datos confidenciales e información de cuota.
El kit de phishing es una “plataforma de múltiples etapas totalmente automatizada diseñada para dedicar eficiencia y sigilo”, dijeron los investigadores del Género IB Ivan Salipur y Federico Marazzi. “Emplea filtrado CAPTCHA para esquivar examen de seguridad, completa previamente los datos de la víctima para aumentar la credibilidad y utiliza bots de Telegram para exfiltrar credenciales robadas e información de cuota. Cada función tiene un único objetivo: el robo de credenciales a escalera industrial”.
Estos hallazgos ejemplifican la creciente demanda de ofertas de phishing como servicio (PhaaS) en la patrimonio sumergida, lo que permite a los actores de amenazas con poca o ninguna experiencia técnica realizar ataques a escalera.
“La automatización observada en este kit en particular ejemplifica cómo el phishing se ha sistematizado: es más rápido de implementar, más difícil de detectar y más manejable de replicar”, añadió la empresa de Singapur. “Lo que ayer requería experiencia técnica ahora se puede ejecutar a escalera a través de marcos automatizados prediseñados”.
