La amenaza de habla rusa detrás de una campaña masiva de phishing en curso ha resultado en el registro de más de 4.300 nombres de dominio desde principios de año.
Según Andrew Brandt, investigador de seguridad de Netcraft, esta actividad está diseñada para dirigirse a clientes de la industria hotelera, en particular a los huéspedes de hoteles que pueden haber realizado reservas de viaje a través de correos electrónicos no deseados. Se dice que la campaña comenzará en serio alrededor de febrero de 2025.
De los 4.344 dominios asociados con este ataque, 685 dominios contenían el nombre «Booking», seguido de «Expedia» con 18, «Agoda» con 13 y «Airbnb» con 12, lo que indica un intento de apuntar a todas las plataformas populares de reserva y alquiler.
«La campaña en curso utiliza un sofisticado kit de phishing que personaliza la página que ve un visitante del sitio dependiendo de una cadena única en la ruta URL cuando el objetivo visita el sitio web por primera vez», dijo Brandt. «Las personalizaciones incluyen logotipos de las principales marcas de la industria de viajes en línea, como Airbnb y Booking.com».
El ataque comienza con un correo electrónico de phishing que solicita a los destinatarios que hagan clic en un enlace y confirmen su reserva con una tarjeta de crédito en un plazo de 24 horas. Si se toma como cebo, la víctima será dirigida a un sitio falso después de que se inicien una serie de redirecciones. Estos sitios falsos siguen un patrón de nomenclatura consistente para sus dominios y presentan frases como Verificar, Reservar, Cheque de Invitado, Verificar Tarjeta y Reservar para dar la ilusión de legitimidad.
Estas páginas admiten 43 idiomas diferentes, lo que brinda a los atacantes una amplia red. Esta página indica a las víctimas que ingresen la información de su tarjeta para pagar un depósito por una reserva de hotel. Si un usuario intenta acceder a la página directamente sin el identificador único AD_CODE, se mostrará una página en blanco. El sitio falso también incluye una verificación CAPTCHA falsa que imita a Cloudflare para engañar a sus objetivos.
«Después de la primera visita, el valor AD_CODE se escribe en la cookie para que las páginas siguientes vean la misma marca disfrazada cada vez que el visitante del sitio haga clic en la página», dijo Netcraft. Esto también significa que cambiar el valor «AD_CODE» en una URL dará como resultado una página dirigida a un hotel diferente en la misma plataforma de reservas.
Tan pronto como se ingresan los detalles de la tarjeta, los datos de vencimiento y el número CVV, la página intenta procesar la transacción en segundo plano, pero aparece una ventana de «Chat de soporte» en la pantalla con instrucciones para completar la «Verificación segura 3D de la tarjeta de crédito» para protegerse contra reservas falsas.
La identidad del grupo de amenazas detrás de esta campaña sigue siendo desconocida, pero el uso del ruso en los comentarios del código fuente y en la salida del depurador es una alusión a su origen o un intento de atender a posibles clientes de kits de phishing que buscan personalizarlos según sus necesidades.
La divulgación se produce pocos días después de que Sekoia advirtiera sobre una campaña de phishing a gran escala dirigida a la industria hotelera que redirige a los gerentes de hoteles a páginas estilo ClickFix, implementa malware similar a PureRAT para recopilar credenciales y se acerca a los clientes del hotel a través de WhatsApp o correo electrónico con los detalles de la reserva y luego confirma la reserva haciendo clic en un enlace.
Curiosamente, uno de los indicadores compartidos por la empresa francesa de ciberseguridad, guestverifiy5313-booking(.)com/67122859, coincide con los patrones de dominio registrados por los actores de amenazas (por ejemplo, verificarguets71561-booking(.)com), lo que plantea la posibilidad de que estos dos grupos de actividades estén relacionados. Hacker News se comunicó con Netcraft para hacer comentarios y actualizará el artículo si recibimos una respuesta.
En las últimas semanas también se han visto campañas de phishing a gran escala que se hacen pasar por múltiples marcas, incluidas Microsoft, Adobe, WeTransfer, FedEx y DHL, para robar credenciales mediante la distribución de archivos adjuntos HTML por correo electrónico. Una vez que se inicia el archivo HTML incrustado, se muestra una página de inicio de sesión falsa y el código JavaScript captura las credenciales ingresadas por la víctima y las envía directamente a un bot de Telegram controlado por el atacante, dijo Cyble.
La campaña se dirige principalmente a una amplia gama de organizaciones de Europa central y oriental, concretamente de la República Checa, Eslovaquia, Hungría y Alemania.
La compañía señaló que «los atacantes están distribuyendo correos electrónicos de phishing haciéndose pasar por clientes o socios comerciales legítimos y solicitando confirmación de estimaciones y facturas». «Este enfoque regional es evidente a través de dominios de destinatarios específicos que pertenecen a empresas locales, distribuidores, entidades gubernamentales y empresas hoteleras que manejan solicitudes de presupuesto y comunicaciones con proveedores a diario».
También se utilizaron kits de phishing en una campaña a gran escala dirigida a clientes de Aruba SpA, uno de los proveedores de servicios de TI y alojamiento web más grandes de Italia, con intentos similares de robar datos confidenciales e información de pago.
Los investigadores del Grupo IB Ivan Salipur y Federico Marazzi dijeron que el kit de phishing es una «plataforma de múltiples etapas totalmente automatizada diseñada para brindar eficiencia y sigilo». «Utilizamos filtrado CAPTCHA para evadir análisis de seguridad, rellenamos previamente los datos de las víctimas para aumentar la confianza y utilizamos bots de Telegram para extraer credenciales robadas e información de pago. Todas las funciones tienen un objetivo: el robo de credenciales a escala industrial».
Estos hallazgos ejemplifican la creciente demanda de servicios de phishing como servicio (PhaaS) en la economía sumergida, lo que permite a atacantes con poca o ninguna experiencia técnica llevar a cabo ataques a gran escala.
«La automatización observada con este kit en particular ejemplifica cómo el phishing se está codificando, haciéndolo más rápido de implementar, más difícil de detectar y más fácil de replicar», añadió la compañía de Singapur. «Lo que antes requería experiencia técnica ahora se puede hacer a escala a través de marcos automatizados prediseñados».
Source link
