СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
07.12.2025
#ИБ

Фишинговая кампания против Booking.com: PureRAT и скомпрометированные почты

Недавняя кампания по фишингу, действующая как минимум с апреля 2025 года, нацелена на индустрию гостеприимства — в первую очередь на клиентов, связанных с Booking.com. Атакующие используют скомпрометированные учетные записи электронной почты отелей, персонализированные данные бронирований и современные техники доставки вредоносного кода, чтобы повысить достоверность сообщений и получить несанкционированный доступ к компьютерам жертв.

Как работает атака

Сценарий атаки многозвенный и строится на сочетании социальных методов и технических приёмов:

  • Вредоносные письма отправляются со взломанных почтовых ящиков отелей, часто так, что создаётся впечатление отправки от Booking.com;
  • Сообщение содержит URL, который перенаправляет пользователя на размещённую страницу, имитирующую фирменный стиль Booking.com;
  • На фишинговой странице применяется тактика «ClickFix», побуждающая жертву выполнить команды JavaScript;
  • Через имитацию CAPTCHA пользователь непреднамеренно запускает команду PowerShell, которая загружает дополнительные команды и вредоносный код с контролируемого злоумышленниками URL;
  • В качестве основного полезного груза используется троян удалённого доступа PureRAT, распространяемый разработчиком PureCoder. После выполнения команд PowerShell злоумышленники получают удалённый доступ и контроль над машиной жертвы;
  • Параллельно злоумышленники контактируют с клиентами отелей через WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta) или электронную почту, подделывая сообщения о «протоколах безопасности» и подталкивая к подтверждению банковских реквизитов на фишинговых страницах.

«На этих страницах используется тактика «ClickFix», побуждающая жертв выполнять команды JavaScript.»

Технические детали закрепления и уклонения от обнаружения

Атакующие применяют приёмы, усложняющие обнаружение и анализ инцидента:

  • Закрепление осуществляется через изменения в разделе реестра Windows и загрузку вредоносного кода в память без оставления больших следов в файловой системе;
  • Для инъекции и выполнения кода злоумышленники используют легитимные компоненты Windows, в том числе AddInProcess32.exe, что позволяет загружать вредоносный код непосредственно в память;
  • Такая техника (reflective loading и инъекция в процессы) снижает вероятность обнаружения традиционными AV-решениями и усложняет расследование;
  • Для подготовки целевых списков злоумышленники используют сервисы по сбору контактов администраторов отелей и инструменты вроде «проверка журналов» — ПО, которое автоматизированно проверяет скомпрометированные учётные записи на соответствие требованиям Booking.com через попытки автоматической аутентификации.

Экосистема преступников и рынок украденных данных

Анализ показывает, что торговля и обсуждение данных клиентов Booking.com ведутся на форумах Dark Web с 2022 года. Там же предлагаются сервисы сбора, проверки и продажи компрометированных учётных записей и контактной информации администраторов отелей. Такая развитая экосистема ускоряет подготовку целевых кампаний и расширяет масштаб атак.

Последствия для организаций и рекомендации

Последствия успешной компрометации включают утечку персональных данных клиентов, финансовое мошенничество, длительный несанкционированный доступ к инфраструктуре и повреждение репутации отелей и сервисов бронирования. Чтобы уменьшить риски, рекомендуется следующее:

  • Включить многофакторную аутентификацию (MFA) для учётных записей сотрудников и администраторов;
  • Проверять подлинность сообщений, требующих подтверждения финансовых реквизитов, и связываться с отправителем через независимые каналы;
  • Ограничить возможности удалённого выполнения скриптов и усилить мониторинг команд PowerShell (включая логирование и блокировку подозрительных команд);
  • Использовать EDR/NGAV с возможностью мониторинга поведения процессов и обнаружения инъекций в память;
  • Проводить регулярные тренинги для сотрудников гостиниц по распознаванию фишинга и безопасной работе с электронными письмами и мессенджерами;
  • Оперативно реагировать на утечки и подозрительные контакты: изолировать пострадавшие машины, собрать артефакты и провести анализ цепочки внедрения.

Ключевой вывод: злоумышленники комбинируют социальную инженерию, доступ к скомпрометированным почтовым ящикам и сложные технические приёмы (инъекция в память, использование легитимных исполняемых файлов) для доставки PureRAT и получения контроля над системами. Индустрия гостеприимства должна усилить контроль доступа, мониторинг и подготовку персонала, чтобы снизить вероятность успешных атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: