Фишинг-кампания против Booking.com: цепочки заражения и обход защиты
Продолжающаяся кампания по фишинг-атакам, нацеленная на Booking.com, демонстрирует сложный, многоступенчатый подход: злоумышленники в первую очередь атакуют партнёров отелей и служебные аккаунты, чтобы затем получить доступ к данным клиентов и информации о бронированиях. Расследование показывает использование адаптивных инструментов и методов обхода защиты, что затрудняет обнаружение операцией традиционными средствами безопасности.
Как устроена атака
- Первая цепочка: массовая фишинг-рассылка по электронной почте, адресованная гостиничным сетям и партнёрам.
- Второй этап: развёртывание специализированного phishing kit, имитирующего партнёрский портал входа в систему Booking.com, часто с использованием фреймворков вроде Ajax.
- Дактилоскопия пользователей на уровне корневого домена: анализ источников трафика и фильтрация подключений из известных IP-подсетей VPN для исключения подозрительных сессий.
- Проверки окружения: использование WebGL, проверок Navigator и проверок iFrame, типичных для продвинутых фишинг-операций.
- Имперсонация и доменные клоны: регистрация доменов, визуально сходных с легитимными сайтами гостиничной и риелторской сферы, для повышения правдоподобия приманок.
- После компрометации партнёров — эксфильтрация данных клиентов: вход в платформу Booking.com и кража конфиденциальной информации о бронированиях (имена клиентов, детали бронирований и т.д.).
Методы повышения доверия и уклонения от обнаружения
Злоумышленники применяют ряд приёмов, чтобы повысить правдоподобие и снизить вероятность детекции:
- Использование бизнес-аккаунтов WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta) в так называемой «призрачной паре» с визуальным статусом
«подтверждено»
— это повышает доверие получателей фишинг-приманок.
- Фингерпринтинг и фильтрация по источникам трафика, включая исключение известных VPN-подсетей.
- Технические проверки окружения (WebGL, Navigator, iFrame), которые делают phishing kit более похожим на решения типа Evilginx, указывая на тактическое сходство с этими угрозами.
Эволюция тактик злоумышленников
Ранее для первоначального доступа в некоторых инцидентах использовался ClickFix, однако текущая методология смещена в сторону регистрации новых доменов и создания недавно заведённых почтовых адресов в Gmail для развертывания phishing kit. Это подчёркивает эволюцию тактик злоумышленников в направлении избегания традиционных мер безопасности и использования более гибких, трудноотслеживаемых инструментов.
Обнаружение и противодействие
Для выявления и борьбы с этой кампанией используются следующие подходы:
- Правила YARA, специфичные для обнаруженных phishing kit и связанных с ними URL-адресов.
- Мониторинг и корреляция данных с помощью различных фреймворков киберразведки.
Последствия для гостиничного сектора
Компрометация аккаунтов партнёров отелей ведёт к прямым рискам:
- Кража персональных данных клиентов и подробностей бронирований.
- Возможное мошенничество с оплатой и перенаправлением бронирований.
- Подрыв доверия к партнёрским каналам и необходимость дополнительных затрат на реагирование и восстановление.
Ключевые выводы
- Кампания отличается многоступенчатой архитектурой и продвинутыми методами уклонения от детекции.
- Атаки нацелены не только на прямую имперсонацию Booking.com, но и на инфраструктуру гостиничного бизнеса и недвижимости через похожие домены.
- Переход от использования ClickFix к регистрации новых Gmail-аккаунтов и доменов указывает на адаптацию тактик и повышенную изощрённость злоумышленников.
Организациям гостиничной индустрии и партнёрам Booking.com следует усилить контроль электронной почты, внедрить многофакторную аутентификацию, мониторинг подозрительной активности и применять сигнатуры/правила (YARA) и инструменты киберразведки для раннего выявления подобных кампаний.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
