Una amenaza de habla rusa detrás de una campaña de phishing masiva en curso ha registrado más de 4.300 nombres de dominio desde principios de año.
La actividad, según el investigador de seguridad de Netcraft, Andrew Brandt, está diseñada para dirigirse a clientes de la industria hotelera, específicamente a huéspedes de hoteles que pueden tener reservas de viaje con correos electrónicos no deseados. Se dice que la campaña comenzó en serio alrededor de febrero de 2025.
De los 4.344 dominios vinculados al ataque, 685 dominios contienen el nombre «Booking», seguido de 18 con «Expedia», 13 con «Agoda» y 12 con «Airbnb», lo que indica un intento de apuntar a todas las plataformas populares de reserva y alquiler.
«La campaña en curso emplea un sofisticado kit de phishing que personaliza la página presentada al visitante del sitio dependiendo de una cadena única en la ruta URL cuando el objetivo visita el sitio web por primera vez», dijo Brandt. «Las personalizaciones utilizan los logotipos de las principales marcas de la industria de viajes en línea, incluidas Airbnb y Booking.com».
El ataque comienza con un correo electrónico de phishing que insta a los destinatarios a hacer clic en un enlace para confirmar su reserva dentro de las próximas 24 horas utilizando una tarjeta de crédito. Si muerden el anzuelo, las víctimas son llevadas a un sitio falso después de iniciar una cadena de redireccionamientos. Estos sitios falsos siguen patrones de nombres consistentes para sus dominios, con frases como confirmación, reserva, cheque de huésped, verificación de tarjeta o reserva para darles una ilusión de legitimidad.
Las páginas admiten 43 idiomas diferentes, lo que permite a los actores de amenazas lanzar una amplia red. Luego, la página indica a la víctima que pague un depósito por su reserva de hotel ingresando la información de su tarjeta. En el caso de que algún usuario intente acceder directamente a la página sin un identificador único llamado AD_CODE, será recibido con una página en blanco. Los sitios falsos también cuentan con una verificación CAPTCHA falsa que imita a Cloudflare para engañar al objetivo.
«Después de la visita inicial, el valor AD_CODE se escribe en una cookie, lo que garantiza que las páginas siguientes presenten la misma apariencia de marca suplantada al visitante del sitio cuando hace clic en las páginas», dijo Netcraft. Esto también significa que cambiar el valor «AD_CODE» en la URL produce una página dirigida a un hotel diferente en la misma plataforma de reservas.
Tan pronto como se ingresan los detalles de la tarjeta, junto con los datos de vencimiento y el número CVV, la página intenta procesar una transacción en segundo plano, mientras aparece una ventana de «chat de soporte» en la pantalla con pasos para completar una supuesta «verificación 3D Secure para su tarjeta de crédito» para protegerse contra reservas falsas.
La identidad del grupo de amenazas detrás de la campaña sigue siendo desconocida, pero el uso del ruso para los comentarios del código fuente y la salida del depurador alude a su procedencia o es un intento de atender a los posibles clientes del kit de phishing que pueden estar buscando personalizarlo para satisfacer sus necesidades.
La divulgación se produce días después de que Sekoia advirtiera sobre una campaña de phishing a gran escala dirigida a la industria hotelera que atrae a los gerentes de hoteles a páginas estilo ClickFix y recolectan sus credenciales mediante la implementación de malware como PureRAT y luego se acercan a los clientes del hotel a través de WhatsApp o correos electrónicos con los detalles de su reserva y confirman su reserva haciendo clic en un enlace.
Curiosamente, uno de los indicadores compartidos por la empresa francesa de ciberseguridad (guestverifiy5313-booking(.)com/67122859) coincide con el patrón de dominio registrado por el actor de la amenaza (por ejemplo, verificarguets71561-booking(.)com), lo que plantea la posibilidad de que estos dos grupos de actividad puedan estar relacionados. The Hacker News se comunicó con Netcraft para solicitar comentarios y actualizaremos la historia si recibimos una respuesta.
En las últimas semanas, campañas de phishing a gran escala también se han hecho pasar por múltiples marcas como Microsoft, Adobe, WeTransfer, FedEx y DHL para robar credenciales mediante la distribución de archivos adjuntos HTML por correo electrónico. Los archivos HTML incrustados, una vez iniciados, muestran una página de inicio de sesión falsa, mientras que el código JavaScript captura las credenciales ingresadas por la víctima y las envía directamente a los robots de Telegram controlados por el atacante, dijo Cyble.
La campaña se ha dirigido principalmente a una amplia gama de organizaciones de Europa Central y del Este, particularmente en la República Checa, Eslovaquia, Hungría y Alemania.
«Los atacantes distribuyen correos electrónicos de phishing haciéndose pasar por clientes o socios comerciales legítimos, solicitando cotizaciones o confirmaciones de facturas», señaló la empresa. «Este enfoque regional es evidente a través de dominios de destinatarios específicos que pertenecen a empresas locales, distribuidores, entidades vinculadas al gobierno y empresas hoteleras que procesan habitualmente solicitudes de presupuesto y comunicaciones con proveedores».
Además, se han utilizado kits de phishing en una campaña a gran escala dirigida a los clientes de Aruba SpA, uno de los proveedores de servicios de TI y alojamiento web más grandes de Italia, en un intento similar de robar datos confidenciales e información de pago.
El kit de phishing es una «plataforma de múltiples etapas totalmente automatizada diseñada para brindar eficiencia y sigilo», dijeron los investigadores del Grupo IB Ivan Salipur y Federico Marazzi. «Emplea filtrado CAPTCHA para evadir análisis de seguridad, completa previamente los datos de la víctima para aumentar la credibilidad y utiliza bots de Telegram para exfiltrar credenciales robadas e información de pago. Cada función tiene un único objetivo: el robo de credenciales a escala industrial».
Estos hallazgos ejemplifican la creciente demanda de ofertas de phishing como servicio (PhaaS) en la economía sumergida, lo que permite a los actores de amenazas con poca o ninguna experiencia técnica realizar ataques a escala.
«La automatización observada en este kit en particular ejemplifica cómo el phishing se ha sistematizado: es más rápido de implementar, más difícil de detectar y más fácil de replicar», añadió la empresa de Singapur. «Lo que antes requería experiencia técnica ahora se puede ejecutar a escala a través de marcos automatizados prediseñados».