Хакеры запустили фишинговую кампанию «Я заплатил дважды» на Booking.com
отель гостиница marriott
С апреля 2025 года киберпреступники проводят спланированную фишинговую атаку на гостиничные аккаунты платформы Booking.com, Airbnb и Expedia. Как следует из отчёта компании Sekoia.io, говорится о многоступенчатой вредоносной кампании, в которой злоумышленники используют взломанные учётные записи отелей для компрометации клиентов, кражи данных и вымогательства средств.
Сценарий атаки начинается с рассылки электронных писем якобы от имени Booking.com или партнёрских гостиниц. Письма содержат ссылку, ведущую на цепочку переадресаций с финальной загрузкой вредоносного скрипта. Ключевым элементом выступает применение тактики ClickFix — метода социальной инженерии, при котором жертве предлагается выполнить команду PowerShell для устранения несуществующей ошибки. На этом этапе на устройство загружается троян удалённого доступа PureRAT.
PureRAT предоставляет полный удалённый контроль над системой: кража паролей, захват экранов, выкачивание файлов, установка дополнительных модулей и эксплойтов. Как установили исследователи, основной целью является кража учётных данных персонала гостиниц, в том числе доступов к платформам бронирования.
Получив доступ к административным панелям, злоумышленники переходят ко второй фазе — взаимодействию с клиентами. Через email или WhatsApp они связываются с гостями, используя реальные данные бронирования, якобы для подтверждения платежа или решения банковской ошибки. Для этого предлагается перейти по ссылке на фальшивый сайт Booking.com, визуально полностью повторяющий оригинал. Платёжная форма собирает все данные банковской карты, которые тут же передаются преступникам.
Фальшивые сайты, по данным Sekoia.io, защищены через Cloudflare и размещены на российской инфраструктуре. Это затрудняет блокировку ресурсов и позволяет сохранить анонимность атакующих. Продажа доступа к компрометированным аккаунтам активно ведётся на русскоязычных форумах. Стоимость варьируется от $5 за куки-файлы до $5000 за «премиум-доступы» к системам крупных отелей.
Один из участников, скрывающийся под псевдонимом moderator_booking, по оценке аналитиков, мог заработать более $20 млн, распространяя украденные данные. Помимо Booking.com, кампания охватила аккаунты Agoda, что указывает на расширение масштаба деятельности.
