Аналитики зафиксировали новую волну многоступенчатых фишинговых атак на гостиничный бизнес и его клиентов

Многоэтапная цепочка компрометации

Атака выстроена по чёткому трёхэтапному сценарию, что свидетельствует о высоком уровне подготовки её организаторов. На первом этапе происходит первоначальная доставка вредоносной нагрузки по электронной почте, адресованной сотрудникам отеля-партнёра Booking.com. Второй этап нацелен непосредственно на кражу учётных данных персонала отеля с помощью специального «партнёрского» фишингового набора. Успех первых двух стадий открывает злоумышленникам путь к третьему, финальному этапу - мошенническим операциям с финансами гостей отеля с использованием уже «клиентского» фишингового набора.

Финальная стадия атаки, а именно использование клиентского набора и доставка ссылок через WhatsApp, перекликается с ранее документированной кампанией «I Paid Twice», описанной аналитиками Sekoia. Однако начальные векторы атаки, включая целевой фишинг партнёров с использованием нового набора, представляют собой либо развитие старой тактики, либо деятельность новой группы, перенявшей часть инструментария.

Техника начального фишинга: детали и уловки

Злоумышленники рассылают письма на корпоративные адреса, связанные с бронированием, используя множество автоматически сгенерированных аккаунтов Gmail. В письмах они выдают себя за службу поддержки Booking.com, обращаясь к получателям как к «партнёрам» платформы. Тематика писем вращается вокруг вопросов наличия номеров, что выглядит рутинно для сотрудника отеля.

Для повышения эффективности используется классический метод социальной инженерии: в теле письма содержится жалоба от якобы проживающего гостя. Этот приём призван создать у сотрудника ощущение срочности и серьёзности ситуации, побуждая к немедленным действиям вместо игнорирования. Ссылка в письме визуально ведёт на легитимный сайт Booking.com, однако на самом деле перенаправляет на контролируемую злоумышленниками инфраструктуру. Для обхода фильтров и введения в заблуждение пользователей активно применяется техника IDN-омографа (Internationalized Domain Name homograph): в доменном имени латинская буква «o» заменена на визуально идентичную кириллическую «о» (U+043E).

«Партнёрский» фишинговый набор: маскировка и уклонение

Для кражи учётных данных персонала отелей используется специализированный фишинговый набор, имитирующий портал для партнёров Booking.com. Набор применяет ряд техник уклонения от обнаружения (Defense Evasion), что объясняет его низкую детектируемость многими средствами защиты. Например, для визуального отображения названия «Booking.com» в исходном коде страницы каждая буква заключена в отдельный HTML-тег "<span>" и записана в обратном порядке, что затрудняет сигнатурный анализ.

Инфраструктура для атаки развёртывается оперативно: все анализируемые домены были зарегистрированы менее чем за 30 дней до начала использования. Для регистрации часто используется определённый регистратор, а сами доменные имена строятся на техниках тайпсквоттинга (намеренные опечатки) и комбо-сквоттинга (комбинация брендовых и общих слов). Домены можно сгруппировать по тематикам, имитирующим административные порталы, центры управления идентификацией (Identity Centers) и системы управления отелями.

Ключевой особенностью набора является активное «отпечатывание» (fingerprinting) пользователя на уровне корневого домена. Система анализирует входящий трафик, проверяя, вероятно, такие параметры, как WebGL, свойства браузера (Navigator) или использование VPN. Если клиент не проходит проверку, он не перенаправляется на фишинговую страницу, а видит безобидный сайт-заглушку, например, сайт фиктивной клининговой компании для отелей. Это позволяет злоумышленникам скрыть свою истинную инфраструктуру от исследователей и систем безопасности, сканирующих интернет.

Финальный аккорд: целевой фишинг клиентов отеля

Получив доступ к аккаунту отеля на Booking.com, злоумышленники выгружают информацию о предстоящих бронированиях: имена гостей, даты, референсы. Эти данные используются для персонализированных атак на постояльцев. Сообщения с фишинговыми ссылками отправляются через WhatsApp, возможно, с верифицированных бизнес-аккаунтов, что повышает доверие.

Сообщение содержит точные детали бронирования (даты, номер брони), что создаёт у жертвы ощущение легитимности, и нагнетает срочность, например, угрозой отмены брони в течение 24 часов. Ссылка ведёт на страницу, защищённую капчей Cloudflare, что добавляет видимость безопасности, а затем - на клон страницы Booking.com, где у гостя запрашивают данные банковской карты для «подтверждения» или «внесения депозита». Используемый «клиентский» фишинговый набор технически схож с ранее известным и автоматически подставляет украденные данные о бронировании.

Последствия и выводы для бизнеса

Прямой финансовый ущерб в итоге несут клиенты отелей, чьи платёжные данные попадают к мошенникам. При этом сама организация-жертва (отель) может узнать о компрометации лишь от своих пострадавших гостей, если в её инфраструктуре не выстроено обнаружение аномальной активности на ранних стадиях.

Данная кампания демонстрирует эволюцию угроз для индустрии гостеприимства. Если ранее для доступа к данным использовались такие методы, как эксплуатация уязвимостей в ПО для удалённого управления (например, ClickFix), то сейчас акцент сместился на целенаправленный фишинг с использованием качественно изготовленных имитаций и сложной логики обхода защиты. Эксперты выделили эту активность в отдельный кластер BR-UNC-030 для дальнейшего отслеживания. Анализ кода клиентского набора, где в комментариях обнаружено русскоязычное слово «Ошибка», может указывать на происхождение его разработчиков.

Что делать организациям? Для противодействия подобным угрозам критически важно усиливать осведомлённость сотрудников, особенно в службах бронирования и поддержки, о методах целевого фишинга. Необходимо внедрять многофакторную аутентификацию (MFA) для всех корпоративных и партнёрских аккаунтов, а также использовать решения для мониторинга и реагирования, способные выявлять аномальные действия в учётных записях и подозрительные исходящие подключения к новым доменам с низкой репутацией.

Domains

• accept-mgmnt-center.com
• admapp-mgmnts.com
• admcontrol-mgmts.com
• adm-mgmtsapp.com
• appcenter-mgmgmnts.com
• appcl-mgmnts-control.com
• appfile-mgmnts-portal.com
• app-helpers-mgmnts.com
• app-htl-manage.com
• applyfy-mgmnts-menu.com
• applyfy-mgmnts-world.com
• app-mgmnts-access.com
• app-mgmnts-center.com
• app-mgmnts-menu.com
• app-mgmnts-portal.com
• app-mgmntsre.com
• app-mgmntts-contorl.com
• app-partner-portel.com
• app-partners-portal.com
• app-proprtyhub.com
• app-propty-mngmt.com
• appsgates-mgmnts.com
• apps-mgmntsgate.com
• appst-mgmnts-controls.com
• arcmgmnt-center-app.com
• asmgmnts-controlsapp.com
• bbjenbooklng.mgmnts-ids-center.com
• booklng.goweb-access-mgmnt.com
• booklng.mgmnt-host-portal.com
• booklng.mgmntsgate-console.com
• booklng.worldwebs-mgmnt-app.com
• center2mgmnt-app.com
• center-cntrlmgmts.com
• centergate-mgmnts.com
• center-mgmnt-gate.com
• clappl-mgmnts-control.com
• cntrlersmgmnt-app.com
• cntrlsmgmnts-app.com
• consmgmnts-appme.com
• console-mgmnts-app.com
• contrcentermneuportal.com
• contrlogo-appsportal.com
• controlapply-mgmnts.com
• control-app-mgmntss.com
• controlersapp-mgmnts.com
• controlersapp-mgnnts.com
• control-mgmnt-apps.com
• control-mgmnts-cecontrol.com
• controls-appmgmnts.com
• controlscoreportal.com
• controlsdeskportal.com
• controlshubportal.com
• controlsmenucore.com
• controlsmenu-mgmts.com
• controlsmgmnts-apply.com
• controlsmgmntss-app.com
• controls-mneuportalcntr.com
• controls-poratlnus.com
• controlssyscenter.com
• ctrlosenu-poratlgo.com
• dashapp-mgmnts.com
• dashmenu-mgmnts.com
• extrappcolosporatl.com
• extrapp-contrlos-portal.com
• extrapp-controls-poratl.com
• extrapp-go-controls-center.com
• extrapp-goctrlenter.com
• extrapp-menus-controls-portal.com
• extrapp-mneu-controls-center.com
• extrapp-mneuporcontrols.com
• extrappprodesk.com
• extrapps-poratlcenter.com
• gateapps-mgmnts.com
• gate-mgmnt-center.com
• gate-mgmntt-portal.com
• gatesmgmntts-apps.com
• ghst-mgmnt-app.com
• go-access-mgmnt.com
• go-app-controls-poratl.com
• go-apps-mneu-portals.com
• goconsole-mgmnts-app.com
• go-contrlos-menu-portal.com
• gocontrolscore.com
• go-controls-poratl-center.com
• go-mamgmnt-center-app.com
• go-menu-controls-cetner.com
• go-menus-controls-center.com
• gomgmnts-applyfy.com
• gomgmnts-appso.com
• gomgnts-appcontrols-menu.com
• goportalhub.com
• goweb-access-mgmnt.com
• gweb-point-mgmnt.com
• gw-mgmnt-acceptapp.com
• hmgmntcs-appcount.com
• home-controlmgmnts.com
• homemgmmnts-app.com
• home-mgmntsapp.com
• homemgmnts-center.com
• homemmgmnts-control.com
• host2mgmnt-center.com
• hostgate-mgmnt-app.com
• hotels-managers.com
• hotl-app.com
• humgmnts-worldapp.com
• id-manageapp.com
• let-mgmnts-app.com
• lets-mgmnts-center.com
• liteapp-mgmntsgo.com
• litemgmnts-app.com
• lweb-mgmnt-app.com
• lweb-mgntm-app.com
• mamgmnt-web-portal.com
• managmntscenter.com
• me-mgmnts-portal.com
• menuapp-mggmnts.com
• menuappportalcore.com
• menucoreportal.com
• menu-mgmnts-appl.com
• menu-mgmnts-apply.com
• menu-mgmnts-controls.com
• menumgmnts-items.com
• menusapp-porantrols.com
• menus-contrlosctergo.com
• menusprodesk.com
• mggmnts-portalgate.com
• mgmmts-app-controls-cetner.com
• mgmmts-apps-controls-poratl.com
• mgmmts-contrlos-portals.com
• mgmmts-controls-menu-go.com
• mgmmts-controls-mneu-portal.com
• mgmmtsmen-poratlapps.com
• mgmmts-mneu-controls-center.com
• mgmmtsmnntrolsportal.com
• mgmmtsprodesk.com
• mgmnshelp-console.com
• mgmnstcontrols-app.com
• mgmns-tsmenusportal.com
• mgmnt2host-app.com
• mgmnt-accept-portal.com
• mgmnt-acesc-app.com
• mgmnt-appliteme.com
• mgmnt-hosthgate-app.com
• mgmnt-host-portal.com
• mgmntranet-app.com
• mgmntsadmcontrol.com
• mgmnts-app-center.com
• mgmnts-appcenterme.com
• mgmnts-appcentralsap.com
• mgmntsappciontols.com
• mgmntsapp-console.com
• mgmnts-appcontorlers.com
• mgmntsappcontrol-info.com
• mgmnts-appcontrolme.com
• mgmntsapphome-center.com
• mgmnts-appid.com
• mgmnts-appjoin.com
• mgmnts-applportalme.com
• mgmnts-apply-app.com
• mgmnts-apply-con.com
• mgmntsapplymenu.com
• mgmnts-applyweb.com
• mgmntsapplyyfy-menu.com
• mgmnts-appme-control.com
• mgmntsappmenu-info.com
• mgmntsappportal.com
• mgmntsapps-gate.com
• mgmnts-appshield.com
• mgmnts-apps-mneu-portal.com
• mgmntsapsgate.com
• mgmntscenter-portla.com
• mgmntscntorlsportal.com
• mgmnts-cntrls-app.com
• mgmntscons-meapp.com
• mgmnts-contlrols-apps.com
• mgmnts-contolhst-app.com
• mgmnts-contorls-center.com
• mgmntscontrol-app.com
• mgmntscontrolers-menu.com
• mgmnts-controlgo-app.com
• mgmnts-controls-app.com
• mgmntscontrolshub.com
• mgmntscorecontrols.com
• mgmntscoreportal.com
• mgmnts-ctrlos-menu.com
• mgmntsfconfitol-app.com
• mgmntsgate-apps.com
• mgmntsgate-console.com
• mgmnts-gate-portal.com
• mgmnts-gocontrol-app.com
• mgmntsgocontrolscenter.com
• mgmntsho-controlapp-menu.com
• mgmnts-homeaccses.com
• mgmntshome-center.com
• mgmntshosapp-menu.com
• mgmnts-host-center.com
• mgmnts-hostify-app.com
• mgmnts-hostt-portal.com
• mgmntsid-app.com
• mgmnts-idapp.com
• mgmnts-ids-center.com
• mgmnts-ids-controls.com
• mgmnts-ids-menu.com
• mgmnts-ids-portal.com
• mgmnts-menuapp-centers.com
• mgmnts-menu-contrlos-go.com
• mgmnts-menus-poratl-apps.com
• mgmnts-mneu-controls-portal.com
• mgmnts-portal-app.com
• mgmntsprocenter.com
• mgmntss-access-web.com
• mgmntss-appcenter.com
• mgmntssapp-controll.com
• mgmntss-apps-control.com
• mgmntsscontrolers-app.com
• mgmnts-sec-app.com
• mgmnts-shieldapp.com
• mgmntsss-web-center.com
• mgmntstranets-app.com
• mgmnts-web-control.com
• mgmnts-web-gate.com
• mgmntsweb-home.com
• mgmnts-webhome.com
• mgmntswebhome-app.com
• mgmnt-today-portal.com
• mgmntts-apph-center.com
• mgmntts-apph-portal.com
• mgmntt-webhost-center.com
• mgmnt-wwwaccess.com
• mgmnt-wwwapp.com
• mgmnt-wwwcenter.com
• mgmnt-wwwgate.com
• mgmtns-controls-poratl.com
• mgmtns-pportalapp.com
• mgmtsapply-control.com
• mgmtsapps-controls.com
• mgmts-portallsapp.com
• mgnmts-controls-menuapp.com
• mngmntsapplyacontrol.com
• mngmnts-apps-cntr.com
• mngtnysmenu-wapp.com
• parnter-portals.com
• partner-controlapp.com
• partner-hubs.com
• portalapp-mgmnt-acc.com
• portallgate-mgmnts.com
• post2mgmnt-app.com
• property-vrf.com
• propr-mgmt.com
• propty-managments.com
• prpty-portal.com
• reviwres-reportes.com
• secapp-mgmt.com
• selmgmnsts-app.com
• shst-mgmnt-app.com
• status-identity.com
• st-mgmnts-apply.com
• sweb-mgmtn-app.com
• webbmgmnt-app.com
• webbmgmnt-portal.com
• webcenter-mgntm.com
• webgo-appmgmntt.com
• webhome-mgmnts.com
• webhome-mngr.com
• webmgmnt-portal.com
• web-mgmnt-portal.com
• webmgmnt-portal-app.com
• web-mgmnt-zone.com
• web-mgnmnt-app.com
• wegso-mgmntsapps.com
• wmgmns-portal-app.com
• wmgmnt-web-gate.com
• worldmgmntportal.com
• world-mgmnts-control.com
• worldweb-mgmnts-app.com
• worldwebs-mgmnt-app.com
• xweb-mgmnt-app.com
• zone-mgmnt-app.com

URLs

• https://admin.booking.com/complaint?op_token=eeceba7d-e04f-4857-bb09-3d3e868fd168
• https://booking.com/complaint?op_token=eeceba7d-e04f-4857-bb09-
• https://booking.com/complaint?op_token=eeceba7d-e04f-5431-ss31-3d3e423127603
• https://booking.com/complint?op_token=eeceba7d-e04f-4857-bb09-
• https://booking.com/reserv?op_token=eeceba7d-e04f-22-4371-3d8q7316314352
• https://xn--bking-jyea.xn--cm-fmc/complaint?op_token=eeceba7d-e04f-4017-bo09-3d3e08912343211
• https://xn--bking-jyea.xn--cm-fmc/complaint?op_token=eeceba7d-e04f-4857-bb09-3d3e678931243
• https://xn--bking-jyea.xn--cm-fmc/complaint?op_token=eeceba7d-e04f-5431-ss31-3d3e423127603
• https://xn--bking-jyea.xn--cm-fmc/complint?op_token=eeceba7d-e04f-4857-bb09-3d3e647289412132
• https://xn--bking-jyea.xn--cm-fmc/reserv?op_token=eeceba7d-e04f-22-4371-3d8q7316314352
• https://xn--dmn-5cd6q.xn--bking-jyea.xn--cm-fmc/complaint?op_token=eeceba7d-e04f-4857-bb09-3d3e86893119
• https://xn--dmn-5cd6q.xn--bking-jyea.xn--cm-fmc/complaint?op_token=eeceba7d-e04f-4857-bb09-3d3e86893748
• https://xn--dmn-5cd6q.xn--bking-jyea.xn--cm-fmc/complaint?op_token=eeceba7d-e04f-4857-bb09-3d3e868fd168
• https://xn--dmn-5cd6q.xn--bking-jyea.xn--cm-fmc/complaint?op_token=eeceba7d-e04f-4857-bb09-3d3e8pefa119

Emails

• aguleradux82@gmail.com
• cibosud987@gmail.com
• ekaxalizi593@gmail.com
• exezuwojubi98@gmail.com
• facufatudob41@gmail.com
• ijatukorepu588@gmail.com
• libovuzib49@gmail.com
• mohumamix28@gmail.com
• ovetiriqo915@gmail.com
• tuwecos626@gmail.com
• wigifudepe22@gmail.com