Cybersecurity-onderzoekers hebben de aandacht gevestigd op een enorme phishing-campagne gericht op de horeca, die hotelmanagers naar ClickFix-achtige pagina’s lokt en hun inloggegevens verzamelt door malware zoals PureRAT in te zetten.
“De modus operandi van de aanvaller bestond erin een gecompromitteerd e-mailaccount te gebruiken om kwaadaardige berichten naar meerdere hotelvestigingen te sturen”, aldus Sekoia. “Deze campagne maakt gebruik van spearphishing-e-mails die zich voordoen als Booking.com om slachtoffers door te sturen naar kwaadaardige websites, waarbij gebruik wordt gemaakt van de social engineering-tactiek ClickFix om PureRAT in te zetten.”
Het uiteindelijke doel van de campagne is het stelen van inloggegevens van gecompromitteerde systemen die cybercriminelen ongeoorloofde toegang verlenen tot boekingsplatforms zoals Booking.com of Expedia, die vervolgens worden verkocht op cybercriminaliteitsforums of worden gebruikt om frauduleuze e-mails naar hotelklanten te sturen om fraude te plegen.
Er wordt geschat dat de activiteit actief is sinds ten minste april 2025 en operationeel is vanaf begin oktober 2025. Het is een van de verschillende campagnes die doelgericht zijn waargenomen, waaronder een reeks aanvallen die eerder deze maart door Microsoft werd gedocumenteerd.
In de laatste golf die door het Franse cyberbeveiligingsbedrijf is geanalyseerd, worden e-mailberichten verzonden vanaf een gecompromitteerd e-mailaccount om verschillende hotels in meerdere landen te targeten, waarbij ontvangers worden misleid om op valse links te klikken die een omleidingsketen naar een ClickFix-pagina activeren met een zogenaamde reCAPTCHA-uitdaging om “de veiligheid van uw verbinding te garanderen”.
“Bij een bezoek stuurt de URL gebruikers door naar een webpagina die JavaScript host met een asynchrone functie die, na een korte vertraging, controleert of de pagina binnen een iframe werd weergegeven”, legt Sekoia uit. “Het doel is om de gebruiker om te leiden naar dezelfde URL, maar dan via HTTP.”
Dit zorgt ervoor dat het slachtoffer een kwaadaardige PowerShell-opdracht kopieert en uitvoert die systeeminformatie verzamelt en een ZIP-archief downloadt, dat op zijn beurt een binair bestand bevat dat uiteindelijk persistentie instelt en PureRAT (ook bekend als zgRAT) laadt door middel van DLL-side-loading.
De modulaire malware ondersteunt een breed scala aan functies, zoals externe toegang, muis- en toetsenbordbediening, webcam- en microfoonopname, keylogging, uploaden/downloaden van bestanden, proxying van verkeer, data-exfiltratie en het op afstand uitvoeren van opdrachten of binaire bestanden. Het wordt ook beschermd door .NET Reactor om reverse engineering te compliceren en zorgt ook voor persistentie op de host door een Run-registersleutel te maken.
Bovendien blijkt dat de campagne hotelklanten via WhatsApp of e-mail benadert met legitieme reserveringsgegevens, terwijl hen wordt geïnstrueerd om op een link te klikken als onderdeel van een verificatieproces en hun bankkaartgegevens te bevestigen om te voorkomen dat hun boekingen worden geannuleerd.
Nietsvermoedende gebruikers die uiteindelijk op de link klikken, worden naar een valse landingspagina geleid die lijkt op Booking.com of Expedia, maar in werkelijkheid is ontworpen om hun kaartgegevens te stelen.
Er wordt aangenomen dat de dreigingsactoren achter het plan informatie over beheerders van Booking.com-vestigingen verkrijgen van criminele fora zoals LolzTeam, en in sommige gevallen zelfs een betaling aanbieden op basis van een percentage van de winst. De verkregen gegevens worden vervolgens gebruikt om ze via social engineering te infecteren om hun systemen te infecteren met een infostealer of een trojan voor externe toegang (RAT). Deze taak wordt selectief uitbesteed aan traffers, dit zijn toegewijde specialisten die verantwoordelijk zijn voor de verspreiding van malware.
“Extranetaccounts van Booking.com spelen een cruciale rol in frauduleuze programma’s gericht op de horeca”, aldus Sekoia. “Als gevolg hiervan zijn de gegevens die uit deze accounts worden verzameld, een lucratief goed geworden, dat regelmatig te koop wordt aangeboden op illegale marktplaatsen.”
“Aanvallers verhandelen deze accounts als authenticatiecookies of login/wachtwoord-paren die uit infostealer-logboeken worden gehaald, aangezien deze verzamelde gegevens doorgaans afkomstig zijn van malware-compromis op de systemen van hotelbeheerders.”
Het bedrijf zei dat het een Telegram-bot had waargenomen om Logboeken van Booking.com te kopen, evenals een bedreigingsacteur genaamd “moderator_booking” die reclame maakte voor een dienst voor het kopen van boekingslogboeken om logbestanden te verkrijgen die verband hielden met Booking.com, Expedia, Airbnb en agoda. Ze beweren dat de logboeken binnen 24 tot 48 uur handmatig worden gecontroleerd.
Dit wordt doorgaans bereikt door middel van tools voor logcontrole, die voor slechts $ 40 beschikbaar zijn op cybercriminaliteitsforums, en die gecompromitteerde accounts verifiëren via proxy’s om ervoor te zorgen dat de verzamelde inloggegevens nog steeds geldig zijn.
“De proliferatie van cybercriminaliteitsdiensten die elke stap van de aanvalsketen van Booking.com ondersteunen, weerspiegelt een professionalisering van dit fraudemodel”, aldus Sekoia. “Door het ‘as-a-service’-model te hanteren, verlagen cybercriminelen de toegangsbarrières en maximaliseren ze de winst.”
De ontwikkeling komt op het moment dat Push Security een update van de ClickFix social engineering-tactiek heeft gedetailleerd die deze nog overtuigender maakt voor gebruikers door een ingesloten video, een afteltimer en een teller voor “gebruikers die in het afgelopen uur zijn geverifieerd” op te nemen, samen met de instructies om de waargenomen authenticiteit te vergroten en de gebruiker te misleiden om de controle uit te voeren zonder al te veel na te denken.
Een andere opmerkelijke update is dat de pagina zichzelf kan aanpassen om instructies weer te geven die overeenkomen met het besturingssysteem van het slachtoffer, waarbij hem wordt gevraagd het Windows Run-dialoogvenster of de macOS Terminal-app te openen, afhankelijk van het apparaat waarvandaan hij de site bezoekt. De pagina’s zijn ook steeds vaker uitgerust om de kwaadaardige code automatisch naar het klembord van de gebruiker te kopiëren, een techniek die klembordkaping wordt genoemd.
“ClickFix-pagina’s worden steeds geavanceerder, waardoor het waarschijnlijker wordt dat slachtoffers voor de social engineering zullen vallen”, aldus Push Security. “ClickFix-payloads worden steeds gevarieerder en vinden nieuwe manieren om beveiligingscontroles te omzeilen.”
