Una amenaza de habla rusa detrás de una campaña masiva de phishing en curso ha registrado más de 4.300 nombres de dominio desde principios de año.
Según el investigador de seguridad de Netcraft, Andrew Brandt, la actividad está dirigida a clientes del sector hotelero, en particular a huéspedes de hoteles que pueden hacer reservas de viaje mediante correos electrónicos no deseados. Se dice que la campaña comenzó en serio alrededor de febrero de 2025.
De los 4.344 dominios vinculados al ataque, 685 dominios contienen el nombre “Booking”, seguido de 18 con “Expedia”, 13 con “Agoda” y 12 con “Airbnb”, lo que sugiere que se intentó atacar a las principales plataformas de reserva y alquiler.
“La campaña en curso utiliza un sofisticado kit de phishing que personaliza la página que se muestra al visitante del sitio web en función de una cadena única en la ruta URL cuando el público objetivo visita el sitio web por primera vez”, dijo Brandt. “Las personalizaciones utilizan los logotipos de las principales marcas de la industria de viajes en línea, incluidas Airbnb y Booking.com”.
El ataque comienza con un correo electrónico de phishing que solicita a los destinatarios que hagan clic en un enlace para confirmar su reserva con tarjeta de crédito dentro de las próximas 24 horas. Si muerden el anzuelo, las víctimas serán redirigidas a un sitio web falso después de que se inicie una cadena de redireccionamiento. Estos sitios web falsos siguen patrones de nomenclatura consistentes para sus dominios y utilizan frases como confirmación, reserva, verificación de huésped, verificación de tarjeta o reserva para darles la impresión de legitimidad.
Los sitios admiten 43 idiomas diferentes, lo que permite a los actores de amenazas lanzar una amplia red. Luego, el sitio le pide a la víctima que haga un depósito para su reserva de hotel ingresando la información de su tarjeta. En caso de que un usuario intente acceder a la página directamente sin un identificador único llamado AD_CODE, será recibido con una página en blanco. Los sitios web falsos también tienen una verificación CAPTCHA falsa que imita a Cloudflare para engañar al objetivo.
“Después de la primera visita, el valor AD_CODE se escribe en una cookie, lo que garantiza que las páginas siguientes presenten la misma apariencia de marca de imitación al visitante del sitio cuando hace clic en las páginas”, dijo Netcraft. Esto también significa que cambiar el valor “AD_CODE” en la URL dará como resultado una página dirigida a un hotel diferente en la misma plataforma de reservas.
Una vez que se ingresan los detalles de la tarjeta, junto con las fechas de vencimiento y el número CVV, el sitio intenta procesar una transacción en segundo plano mientras aparece una ventana de “Chat de soporte” en la pantalla con pasos para realizar una supuesta “verificación 3D Secure de su tarjeta de crédito” para protegerse contra reservas falsas.
La identidad del grupo de amenazas detrás de la campaña sigue siendo desconocida, pero el uso del ruso para los comentarios del código fuente y la salida del depurador alude a sus orígenes o es un intento de apuntar a clientes potenciales del kit de phishing que quieran personalizarlo según sus necesidades.
La revelación se produce días después de que Sekoia advirtiera sobre una campaña de phishing a gran escala dirigida a la industria hotelera, atrayendo a gerentes de hoteles a sitios estilo ClickFix y recopilando sus credenciales mediante el uso de malware como PureRAT. Luego se pone en contacto con los clientes del hotel a través de WhatsApp o correo electrónico con los detalles de su reserva y confirma su reserva haciendo clic en un enlace.
Curiosamente, uno de los indicadores compartidos por la empresa francesa de ciberseguridad, guestverifiy5313-booking(.)com/67122859, coincide con el patrón de dominio registrado por el actor de la amenaza (por ejemplo, verificarguets71561-booking(.)com), lo que plantea la posibilidad de que estos dos grupos de actividades puedan estar relacionados. Cuando se le contactó para hacer comentarios, Netcraft confirmó a The Hacker News que parecía ser la misma campaña y que había una “superposición significativa”.
En las últimas semanas, campañas de phishing a gran escala también se han hecho pasar por múltiples marcas como Microsoft, Adobe, WeTransfer, FedEx y DHL para robar credenciales mediante la distribución de archivos adjuntos HTML por correo electrónico. Los archivos HTML incrustados muestran una página de inicio de sesión falsa una vez iniciados, mientras que el código JavaScript captura las credenciales ingresadas por la víctima y las envía directamente a los robots de Telegram controlados por el atacante, dijo Cyble.
La campaña estaba dirigida principalmente a una amplia gama de organizaciones de Europa central y oriental, en particular de la República Checa, Eslovaquia, Hungría y Alemania.
“Los atacantes difunden correos electrónicos de phishing en los que se hacen pasar por clientes o socios comerciales legítimos y solicitan ofertas o confirmaciones de facturas”, destacó la empresa. “Este enfoque regional es evidente a través de dominios de destinatarios específicos que pertenecen a empresas locales, distribuidores, entidades relacionadas con el gobierno y empresas hoteleras que manejan habitualmente las solicitudes de cotizaciones y las comunicaciones con los proveedores”.
Además, se utilizaron kits de phishing en una campaña a gran escala dirigida a los clientes de Aruba SpA, uno de los proveedores de servicios de TI y alojamiento web más grandes de Italia. Este fue un intento similar de robar datos confidenciales e información de pago mediante el envío de correos electrónicos advirtiendo sobre servicios vencidos o pagos fallidos.
El kit de phishing es una “plataforma de múltiples etapas totalmente automatizada diseñada para brindar eficiencia y sigilo”, dijeron los investigadores del Grupo IB Ivan Salipur y Federico Marazzi. “Utiliza filtrado CAPTCHA para eludir los análisis de seguridad, completa previamente la información de la víctima para aumentar la credibilidad y utiliza bots de Telegram para extraer credenciales robadas e información de pago. Cada característica tiene un único objetivo: el robo de credenciales a escala industrial”.
Estos hallazgos ilustran la creciente demanda de ofertas de phishing como servicio (PhaaS) en la economía sumergida, lo que permite a los actores de amenazas con poca o ninguna experiencia técnica llevar a cabo ataques a escala.
“La automatización observada en este kit en particular ilustra cómo se ha sistematizado el phishing: más rápido de implementar, más difícil de detectar y más fácil de reproducir”, añadió la empresa de Singapur. “Lo que antes requería experiencia técnica ahora se puede hacer a escala a través de marcos automatizados prediseñados”.
About The Author
