Skupina stojící za probíhající masivní phishingovou kampaní založila od začátku roku více než 4 300 doménových jmen.
Aktivita je podle bezpečnostního výzkumníka společnosti Netcraft Andrewa Brandta navržena tak, aby cílila na zákazníky hotelového průmyslu, konkrétně na hotelové hosty, kteří mohou mít cestovní rezervace, pomocí spamových e-mailů. Kampaň údajně začala naplno kolem února 2025.
Z 4 344 domén spojených s útokem obsahuje 685 domén název „Booking“, následuje 18 s „Expedia“, 13 s „Agoda“ a 12 s „Airbnb“, což naznačuje pokus cílit na všechny populární rezervační a pronajímací platformy.
„Probíhající kampaň využívá sofistikovaný phishingový kit, který přizpůsobuje stránku prezentovanou návštěvníkovi webu v závislosti na jedinečném řetězci v cestě URL, když cíl poprvé navštíví web,“ řekl Brandt. „Přizpůsobení využívá loga od hlavních značek online cestovního průmyslu, včetně Airbnb a Booking.com.“
Útok začíná phishingovým e-mailem, který vyzývá příjemce, aby klikli na odkaz a potvrdili svou rezervaci do příštích 24 hodin pomocí kreditní karty. Pokud skočí na návnadu, oběti jsou místo toho po zahájení řetězce přesměrování zavedeny na falešný web. Tyto podvodné stránky dodržují konzistentní vzorce pojmenování svých domén, obsahující fráze jako confirmation, booking, guestcheck, cardverify nebo reservation, aby jim dodaly iluzi legitimity.
Stránky podporují 43 různých jazyků, což útočníkům umožňuje rozhodit širokou síť. Stránka pak instruuje oběť, aby zaplatila zálohu za svou hotelovou rezervaci zadáním informací o kartě. V případě, že se jakýkoli uživatel pokusí přímo přistoupit na stránku bez jedinečného identifikátoru nazvaného AD_CODE, zobrazí se mu prázdná stránka. Podvodné stránky také obsahují falešnou kontrolu CAPTCHA, která napodobuje Cloudflare, aby oklamala cíl.
„Po první návštěvě je hodnota AD_CODE zapsána do cookie, což zajišťuje, že následující stránky prezentují návštěvníkovi webu stejný vzhled napodobované značky, když proklikává stránky,“ uvedla společnost Netcraft. To také znamená, že změna hodnoty „AD_CODE“ v URL vytvoří stránku cílící na jiný hotel na stejné rezervační platformě.
Jakmile jsou zadány údaje o kartě spolu s datem expirace a číslem CVV, stránka se pokusí zpracovat transakci na pozadí, zatímco se na obrazovce objeví okno „podpůrného chatu“ s kroky k dokončení údajného „3D Secure ověření vaší kreditní karty“ pro ochranu proti falešným rezervacím.
Identita skupiny hrozby za kampaní zůstává neznámá, ale použití ruštiny pro komentáře ve zdrojovém kódu a výstup debuggeru buď naznačuje jejich původ, nebo je pokusem oslovit potenciální zákazníky phishingového kitu, kteří jej možná chtějí přizpůsobit svým potřebám.
Odhalení přichází několik dní poté, co společnost Sekoia varovala před rozsáhlou phishingovou kampaní zaměřenou na hotelový průmysl, která láká hotelové manažery na stránky ve stylu ClickFix a sklízí jejich přihlašovací údaje nasazením malwaru jako PureRAT a poté oslovuje hotelové zákazníky prostřednictvím WhatsApp nebo e-mailů s jejich rezervačními údaji a potvrzením rezervace kliknutím na odkaz.
Zajímavé je, že jeden z indikátorů sdílených francouzskou kybernetickou bezpečnostní společností – guestverifiy5313-booking[.]com/67122859 – odpovídá vzoru domény zaregistrované útočníkem (např. verifyguets71561-booking[.]com), což vyvolává možnost, že tyto dva clustery aktivit by mohly být spojeny.
V posledních týdnech rozsáhlé phishingové kampaně také napodobovaly několik značek jako Microsoft, Adobe, WeTransfer, FedEx a DHL za účelem krádeže přihlašovacích údajů distribucí HTML příloh prostřednictvím e-mailu. Vložené HTML soubory po spuštění zobrazí falešnou přihlašovací stránku, zatímco JavaScript kód zachycuje přihlašovací údaje zadané obětí a odesílá je přímo na Telegram boty kontrolované útočníky, uvedla společnost Cyble.
Kampaň se zaměřila především na širokou škálu organizací ve střední a východní Evropě, zejména v České republice, na Slovensku, v Maďarsku a Německu.
„Útočníci distribuují phishingové e-maily vydávající se za legitimní zákazníky nebo obchodní partnery, žádající cenové nabídky nebo potvrzení faktur,“ uvedla společnost. „Toto regionální zaměření je zřejmé prostřednictvím cílených doménových příjemců patřících místním podnikům, distributorům, vládním subjektům a hotelářským firmám, které běžně zpracovávají poptávky a komunikaci s dodavateli.“
Kromě toho byly phishingové kity použity v rozsáhlé kampani zaměřené na zákazníky společnosti Aruba S.p.A, jednoho z největších italských poskytovatelů webhostingu a IT služeb, v podobném pokusu ukrást citlivá data a platební informace zasíláním e-mailů varujících před vypršením služeb nebo neúspěšnými platbami.
Phishingový kit je „plně automatizovaná, vícestupňová platforma navržená pro efektivitu a nenápadnost,“ řekli výzkumníci společnosti Group-IB Ivan Salipur a Federico Marazzi. „Využívá filtrování CAPTCHA k vyhnutí se bezpečnostním skenům, předvyplňuje data obětí pro zvýšení důvěryhodnosti a používá Telegram boty k exfiltraci ukradených přihlašovacích údajů a platebních informací. Každá funkce slouží jedinému cíli: průmyslové krádeži přihlašovacích údajů.“
Tato zjištění ilustrují rostoucí poptávku po nabídkách phishing-as-a-service (PhaaS) v podzemní ekonomice, které umožňují útočníkům s malými nebo žádnými technickými znalostmi provádět útoky ve velkém měřítku.
„Automatizace pozorovaná v tomto konkrétním kitu ilustruje, jak se phishing stal systematizovaným – rychlejší k nasazení, těžší k detekci a snazší k replikaci,“ dodala singapurská společnost. „To, co kdysi vyžadovalo technické znalosti, lze nyní provádět ve velkém měřítku prostřednictvím předpřipravených, automatizovaných frameworků.“
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS
