新型钓鱼攻击通过被入侵的Booking.com账户瞄准旅行者

新型钓鱼活动通过被入侵的酒店Booking.com账户瞄准旅行者

网络安全研究人员发现了一个复杂的钓鱼活动，该活动利用被入侵的酒店预订账户诈骗全球旅行者。

这项至少从2025年4月开始活跃的活动，利用从酒店管理员处窃取的凭证冒充合法的Booking.com通信，并将毫无戒心的客户引导至欺诈性账单页面。

Sekoia.io的安全分析师与威胁检测研究人员合作发现，该操作始于针对酒店机构的多阶段攻击。

威胁行为者首先通过使用ClickFix社会工程策略的恶意电子邮件入侵酒店管理员系统，最终安装PureRAT恶意软件。

一旦攻击者获得酒店Booking.com账户的控制权，他们就会利用平台与客户之间建立的信任，对客人执行针对性的银行欺诈。

初始入侵阶段涉及发送给酒店预订和管理电子邮件地址的鱼叉式网络钓鱼邮件。这些消息伪装成Booking.com通信，配有真实的品牌标识和对酒店员工来说看似合法的URL。

在撰写本文时，我们继续分析这个加载程序，它与我们数据库中的任何已知恶意软件家族都不匹配。它的操作方式类似于QuirkyLoader，一个预先编译（AOT）的.NET加载程序。

感染链集群

电子邮件引用客户请求或预订通知，制造紧迫感，鼓励收件人点击可疑链接。当受害者点击提供的URL时，他们会遇到一个复杂的重定向基础设施，旨在掩盖攻击者的真实目标。

初始重定向会经过多个页面，最终跳转到一个托管基于JavaScript的ClickFix攻击的恶意网站。该页面显示Booking.com品牌，并提示用户复制并执行命令，借口是验证对酒店预订外联网的管理访问权限。

复制的命令执行PowerShell指令，下载并部署PureRAT——一种作为恶意软件即服务出售的远程访问木马。一旦安装，PureRAT会在酒店管理员机器上建立持久性，授予攻击者对系统的完全控制权并访问预订平台凭证。

针对客人的欺诈

掌握了被入侵的Booking.com账户后，威胁行为者将注意力转向酒店客户。受害者通过WhatsApp或电子邮件收到钓鱼信息，其中包含从被黑账户中获取的合法预订详细信息。

这些消息声称存在安全问题需要更新银行信息，将客人引导至模仿Booking.com真实账单界面的钓鱼页面。输入银行凭证的毫无戒心的旅行者成为二次账单欺诈的受害者。客人会发现与其合法酒店预订相匹配的未经授权收费，实质上为已预订的住宿支付了两次费用。

根据其广告，moderator_booking购买包括联盟计划访问权限和活跃预订的Booking日志，价格从30美元到5000美元不等，用于高价值条目。

网络犯罪论坛和Telegram上提供的Booking日志购买服务

研究人员发现了支持此操作的大量犯罪市场活动。威胁行为者在俄语网络犯罪论坛上公开宣传被入侵的Booking.com账户、信息窃取程序日志、凭证检查器和恶意软件分发服务。

管理发达国家多家酒店的高价值账户价格高达数千美元，反映了通过这种欺诈模式可获得的可观利润。

专业服务的激增——包括招募其他犯罪分子传播恶意软件的流量贩子、验证被盗凭证的日志检查器以及专用市场——表明针对酒店业的欺诈已经工业化。

流量贩子团队

该操作反映了网络犯罪专业化的更广泛趋势，攻击者将攻击组件外包给专业服务，降低了进入门槛，同时最大化回报。

该活动对酒店企业和旅行者都构成重大风险。酒店面临凭证盗窃、未经授权的账户访问和声誉损害，而客人则遭受直接财务损失。攻击者的持久性和复杂基础设施表明该操作仍然非常有利可图，并可能继续针对该行业。

Sekoia.io继续监控此威胁，跟踪对手基础设施并开发检测能力，以保护组织免受类似活动的影响。
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

公众号二维码