Эксперты по кибербезопасности зафиксировали крупную фишинговую атаку, направленную на сферу туризма и размещения гостей. Операция приманивает сотрудников гостиниц на страницы типа ClickFix, похищая их личные данные и устанавливая опасное программное обеспечение вроде PureRAT.
Механизм атаки включает использование украденных аккаунтов электронной почты для рассылки заражённых писем крупным сетям отелей. Под видом уведомлений от известных площадок бронирования, таких как Booking.com, жертвы направляются на ложные сайты, содержащие скрытые скрипты социальной инженерии ClickFix, используемые для заражения системой PureRAT.
Основная цель операции заключается в краже конфиденциальных данных из захваченных систем, позволяющих преступникам получать нелегальный доступ к сервисам онлайн-бронирования, таким как Booking.com или Expedia. Затем добытая информация продается на специализированных форумах киберпреступников или используется для осуществления финансовых махинаций с клиентами отелей.
Предположительно, атака началась в апреле 2025 года и активно действует с октября того же года. Подобная схема стала частью целого ряда аналогичных операций, зарегистрированных ранее в 2025 году, включая инциденты, отмеченные корпорацией Microsoft.
Во французском отчёте о последних событиях отмечается, что инфицированные почтовые адреса рассылают письма сотрудникам множества гостиничных предприятий в разных регионах мира. Пользователей убеждают кликнуть на фальшивые ссылки, ведущие к странице якобы для подтверждения подлинности их браузера.
При открытии целевой страницы скрипт автоматически перенаправляет посетителя на небезопасный ресурс, вынуждая запустить вредоносный код PowerShell, который собирает техническую информацию о компьютере и скачивает архив с вредоносным файлом, создающим постоянную угрозу и устанавливающим PureRAT через загрузку специальной библиотеки.
PureRAT обладает множеством возможностей, среди которых контроль над компьютером, запись звука и изображений с камеры, перехват нажатия клавиш, передача и получение файлов, фильтрация трафика, кража информации и исполнение произвольных команд.
Также сообщается, что в ходе операции клиенты отеля получают уведомления о бронировании через мессенджеры вроде WhatsApp или электронное письмо, мотивируя проверить статус своего заказа и ввести реквизиты кредитной карты, чтобы избежать отмены проживания. Перенаправляясь на фейковые страницы популярных сервисов бронирования, посетители рискуют утратить персональные банковские данные.
Организаторы схемы часто покупают базы данных владельцев отелей, собираемые хакерами и продающиеся на подпольных ресурсах, таких как LolzTeam. Эти данные позволяют эффективно применять методы социальной инженерии, принуждая персонал гостиниц устанавливать программы-шпионы или специализированные трояны.
Поддельные профили администраторов на платформе Booking.com становятся объектом внимания преступников, поскольку содержат ценные регистрационные данные, широко востребованные на чёрных рынках киберпространства.
Анализ проведённой активности выявил существование Telegram-канала, приобретающего лог-файлы, относящиеся к сервису Booking.com, а также предложение услуг по покупке журнала регистрации пользователя, осуществляемое лицом под псевдонимом «moderator_booking». Сообщалось, что проверка журнала занимает около суток-двух.
Доступные инструменты анализа журналов стоят порядка 40 долларов и помогают убедиться в действительности украденных данных, пройдя процедуру авторизации через прокси-серверы.
Такой уровень автоматизации процесса позволяет киберпреступникам снижать затраты и повышать доходы, развивая целую экосистему сервиса для атак на сервисы бронирования, в частности Booking.com.
Новшеством стало применение улучшенной техники социальной инженерии ClickFix, включающей встроенные видеоролики, обратный отсчёт и подсчёт количества прошедших проверок, повышая доверие пользователей и облегчая процесс хищения данных.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь
Автомобилестроительная индустрия переживает серьёзные изменения в логистической стратегии. Tesla активно трансформирует свою цепочку поставок, перемещая производство из Китая в Мексику и страны Юго-Восточной Азии. Этот процесс происходит на фоне растущих торговых противоречий и споров о полупроводниках между США и Китаем.
Облачная приватность нового поколения: Google представляет "Secure AI Engine"
Корпорация Google анонсировала прорывную разработку под названием Secure AI Engine, обеспечивающую повышенную защиту персональных данных при работе с искусственным интеллектом в облачном окружении.
Microsoft закрыла 63 уязвимости, включая активную дыру в ядре Windows
Масштабное обновление безопасности от корпорации. Microsoft представила пакет обновлений, направленный на устранение 63 уязвимостей в своём программном обеспечении. Особое внимание привлекло наличие активно эксплуатируемой уязвимости нулевого дня в ядре операционной системы.