Мощная фишинговая кампания компрометирует аккаунты отелей на Booking, позволяя злоумышленникам обманывать гостей поддельными запросами на оплату. Атака под названием «I Paid Twice» («Я заплатил дважды») демонстрирует смену парадигмы в операциях киберпреступников: от массового фишинга к целенаправленной многоуровневой атаке на цепочку цифрового доверия в гостиничной индустрии.
Описание
Экосистема атаки представляет собой не единичное нападение, а преступное предприятие с четким распределением ролей. Систематически атакуются отели для компрометации их аккаунтов Booking.com с последующим использованием доступа для мошенничества с клиентами. Техническое исполнение показывает высокую степень профессионализма, сочетая известные методы в новых комбинациях. Основной вектор атаки - целевой фишинг против сотрудников отелей. Ключевым вредоносным ПО выступает PureRAT, троянец удаленного доступа на базе .NET. Методом монетизации стало мошенничество по схеме компрометации корпоративной электронной почты против гостей отелей.
Атака развивается по четкому сценарию, состоящему из четырех взаимосвязанных фаз. Первоначальная компрометация полностью полагается на сложную социальную инженерию для побуждения пользователя к выполнению кода. Специально подготовленные письма приходят с ранее скомпрометированных легитимных почтовых аккаунтов других отелей, что позволяет обойти фильтры, основанные на репутации. Тема письма имитирует уведомление от Booking.com, создавая ощущение срочности и легитимности.
Ссылка в письме ведет не напрямую к вредоносной нагрузке, а проходит через систему распределения трафика. Этот механизм использует JavaScript для проверки условий загрузки, что помогает избежать анализа в песочницах. Ключевым элементом атаки стала техника ClickFix: конечная страница представляет собой точный клон портала Booking.com с поддельной капчей. При загрузке страницы JavaScript автоматически копирует вредоносную команду PowerShell в буфер обмена жертвы. Затем пользователю предлагается выполнить эту команду, что воспринимается как законный шаг по устранению неполадок. Данный метод эффективно обходит почтовые фильтры и использует доверие пользователя для выполнения системных команд.
Выполнение вставленной команды инициирует автоматизированную последовательность развертывания вредоносного ПО. Начальная команда PowerShell загружает второй, более сложный скрипт, который проводит разведку и передает данные о системе на сервер управления. Затем скрипт загружает ZIP-архив, содержащий легитимный подписанный исполняемый файл и три вредоносные DLL. Файлы извлекаются в пользовательскую директорию, после чего устанавливается механизм постоянства через ключ реестра Run и ярлык в папке автозагрузки.
Используется техника подмены DLL: легитимное приложение, уязвимое к подмене библиотек, загружает вредоносную DLL, которая затем отражательно загружает основная полезную нагрузку PureRAT прямо в память. Это позволяет избежать записи основного вредоносного бинарника на диск, уклоняясь от сигнатурного обнаружения. PureRAT функционирует как платформа «malware-as-a-service» (MaaS), предоставляя злоумышленникам глубокий и постоянный доступ. Возможности включают удаленное управление рабочим столом, кейлоггинг, управление файловой системой, захват с веб-камеры и микрофона, проксирование трафика и эксфильтрацию данных.
Модульная архитектура позволяет основному агенту по команде с сервера управления загружать и выполнять дополнительные модули. Коммуникация с сервером управления осуществляется через зашифрованные TLS-сокеты, маскируясь под обычный веб-трафик. Payload защищен коммерческим обфускатором .NET Reactor, что усложняет статический анализ. После получения постоянного доступа злоумышленники переходят к основной финансовой цели. С помощью кейлоггеров или анализа украденных файлов происходит сбор учетных данных для портала Booking.com.
Мошеннический сценарий разворачивается следующим образом: используя украденные куки или учетные данные, злоумышленники получают доступ к порталу для просмотра подлинных предстоящих бронирований. Затем они impersonate отель и связываются с гостями через WhatsApp или электронную почту, часто прямо перед заселением. Сообщение утверждает о «проблеме с банком» или «вопросом безопасности» и настоятельно просит гостя подтвердить оплату, переведя средства на новый, контролируемый мошенниками банковский счет. Использование легитимных деталей бронирования и информации о гостях делает мошенничество чрезвычайно убедительным, приводя к ситуациям двойной оплаты.
Данная кампания демонстрирует опасную тенденцию: киберпреступники создают специализированные операционные модели с разделением труда, используя доступные инструменты и услуги для проведения сложных атак. Успех «I Paid Twice» подчеркивает важность многоуровневой защиты, сочетающей технические средства с обучением сотрудников распознаванию социальной инженерии. Особенностью данной атаки стало создание полноценной преступной экосистемы, где разные группы специализируются на отдельных этапах: от первоначального взлома до монетизации доступа.
Индикаторы компрометации
IPv4 Port Combinations
- 45.142.166.73:56001
