Обширная фишинговая операция PureRAT против гостиничного бизнеса
Дата: 10.11.2025Просмотров: 1605
Обширная фишинговая операция PureRAT против гостиничного бизнеса
Эксперты по кибербезопасности зафиксировали крупную фишинговую атаку, направленную на сферу туризма и размещения гостей. Операция приманивает сотрудников гостиниц на страницы типа ClickFix, похищая их личные данные и устанавливая опасное программное обеспечение вроде PureRAT.
Механизм атаки включает использование украденных аккаунтов электронной почты для рассылки заражённых писем крупным сетям отелей. Под видом уведомлений от известных площадок бронирования, таких как Booking.com, жертвы направляются на ложные сайты, содержащие скрытые скрипты социальной инженерии ClickFix, используемые для заражения системой PureRAT.
Основная цель операции заключается в краже конфиденциальных данных из захваченных систем, позволяющих преступникам получать нелегальный доступ к сервисам онлайн-бронирования, таким как Booking.com или Expedia. Затем добытая информация продается на специализированных форумах киберпреступников или используется для осуществления финансовых махинаций с клиентами отелей.
Предположительно, атака началась в апреле 2025 года и активно действует с октября того же года. Подобная схема стала частью целого ряда аналогичных операций, зарегистрированных ранее в 2025 году, включая инциденты, отмеченные корпорацией Microsoft.
Во французском отчёте о последних событиях отмечается, что инфицированные почтовые адреса рассылают письма сотрудникам множества гостиничных предприятий в разных регионах мира. Пользователей убеждают кликнуть на фальшивые ссылки, ведущие к странице якобы для подтверждения подлинности их браузера.
При открытии целевой страницы скрипт автоматически перенаправляет посетителя на небезопасный ресурс, вынуждая запустить вредоносный код PowerShell, который собирает техническую информацию о компьютере и скачивает архив с вредоносным файлом, создающим постоянную угрозу и устанавливающим PureRAT через загрузку специальной библиотеки.
PureRAT обладает множеством возможностей, среди которых контроль над компьютером, запись звука и изображений с камеры, перехват нажатия клавиш, передача и получение файлов, фильтрация трафика, кража информации и исполнение произвольных команд.
Также сообщается, что в ходе операции клиенты отеля получают уведомления о бронировании через мессенджеры вроде WhatsApp или электронное письмо, мотивируя проверить статус своего заказа и ввести реквизиты кредитной карты, чтобы избежать отмены проживания. Перенаправляясь на фейковые страницы популярных сервисов бронирования, посетители рискуют утратить персональные банковские данные.
Организаторы схемы часто покупают базы данных владельцев отелей, собираемые хакерами и продающиеся на подпольных ресурсах, таких как LolzTeam. Эти данные позволяют эффективно применять методы социальной инженерии, принуждая персонал гостиниц устанавливать программы-шпионы или специализированные трояны.
Поддельные профили администраторов на платформе Booking.com становятся объектом внимания преступников, поскольку содержат ценные регистрационные данные, широко востребованные на чёрных рынках киберпространства.
Анализ проведённой активности выявил существование Telegram-канала, приобретающего лог-файлы, относящиеся к сервису Booking.com, а также предложение услуг по покупке журнала регистрации пользователя, осуществляемое лицом под псевдонимом «moderator_booking». Сообщалось, что проверка журнала занимает около суток-двух.
Доступные инструменты анализа журналов стоят порядка 40 долларов и помогают убедиться в действительности украденных данных, пройдя процедуру авторизации через прокси-серверы.
Такой уровень автоматизации процесса позволяет киберпреступникам снижать затраты и повышать доходы, развивая целую экосистему сервиса для атак на сервисы бронирования, в частности Booking.com.
Новшеством стало применение улучшенной техники социальной инженерии ClickFix, включающей встроенные видеоролики, обратный отсчёт и подсчёт количества прошедших проверок, повышая доверие пользователей и облегчая процесс хищения данных.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь!
Конфликт вокруг рейтингов: MPA требует от Meta прекратить использование маркировки PG-13
Конфликт вокруг рейтингов: MPA требует от Meta прекратить использование маркировки PG-13
Торговая война терминов разгорелась между Ассоциацией кинокомпаний (MPA) и Meta после того, как последняя начала применять систему ограничений для подростковых аккаунтов в Instagram, используя аналогию с рейтингами фильмов PG-13.
Google и Epic Games подписали мировое соглашение по антимонопольному конфликту вокруг Google Play Что случилось?
Google и Epic Games подписали мировое соглашение по антимонопольному конфликту вокруг Google Play
Что случилось?
Компании Google и Epic Games официально объявили о достижении соглашения, завершающего многолетнюю тяжбу относительно действий Google на рынке распространения мобильных приложений через Play Store. Согласно условиям договора, планируется введение серьезных изменений в работу онлайн-магазина приложений Google Play, затрагивающих пользователей по всему миру. Ключевыми нововведениями станут облегчение доступа к сторонним магазинам приложений и внедрение альтернативных платежных систем, а также значительное сокращение комиссии для разработчиков программного обеспечения.
Взлома финансовых аккаунтов посредством новейших квантовых разработок не получится
Руководитель Центра квантовых технологий Московского университета, физик Сергей Кулик развеял опасения общественности относительно угрозы взлома финансовых аккаунтов посредством новейших квантовых разработок. Учёный подчеркнул, что современные достижения науки не позволяют осуществить такую операцию из-за недостаточного количества необходимых вычислительных элементов — кубитов.