Een Russischtalige dreiging achter een voortdurende, massale phishing-campagne heeft sinds begin dit jaar ruim 4.300 domeinnamen geregistreerd.
De activiteit is volgens Netcraft-beveiligingsonderzoeker Andrew Brandt bedoeld om klanten uit de horeca te targeten, met name hotelgasten die mogelijk reisreserveringen hebben met spam-e-mails. De campagne zou rond februari 2025 serieus zijn begonnen.
Van de 4.344 domeinen die bij de aanval betrokken zijn, bevatten 685 domeinen de naam ‘Booking’, gevolgd door 18 met ‘Expedia’, 13 met ‘Agoda’ en 12 met ‘Airbnb’, wat duidt op een poging om zich op alle populaire boekings- en verhuurplatforms te richten.
“De lopende campagne maakt gebruik van een geavanceerde phishing-kit die de pagina aanpast die aan de bezoeker van de site wordt gepresenteerd, afhankelijk van een unieke string in het URL-pad wanneer het doelwit de website voor het eerst bezoekt”, aldus Brandt. “Bij de aanpassingen worden de logo’s gebruikt van grote merken in de online reisindustrie, waaronder Airbnb en Booking.com.”
De aanval begint met een phishing-e-mail waarin de ontvangers worden aangespoord om binnen 24 uur met een creditcard op een link te klikken om hun boeking te bevestigen. Als ze het aas grijpen, worden de slachtoffers naar een nepsite geleid nadat ze een reeks omleidingen hebben geïnitieerd. Deze nepsites volgen consistente naamgevingspatronen voor hun domeinen, met termen als bevestiging, boeking, gastencontrole, kaartverificatie of reservering om hen een illusie van legitimiteit te geven.
De pagina’s ondersteunen 43 verschillende talen, waardoor de dreigingsactoren een breed net kunnen uitwerpen. De pagina instrueert het slachtoffer vervolgens om een aanbetaling te doen voor zijn hotelreservering door zijn kaartgegevens in te voeren. In het geval dat een gebruiker rechtstreeks probeert toegang te krijgen tot de pagina zonder een unieke identificatie genaamd AD_CODE, wordt hij begroet met een lege pagina. De nepsites bevatten ook een nep-CAPTCHA-controle die Cloudflare nabootst om het doelwit te misleiden.
“Na het eerste bezoek wordt de AD_CODE-waarde naar een cookie geschreven, die ervoor zorgt dat volgende pagina’s hetzelfde geïmiteerde merkuiterlijk aan de sitebezoeker presenteren als ze door pagina’s klikken”, aldus Netcraft. Dit betekent ook dat het wijzigen van de waarde ‘AD_CODE’ in de URL een pagina oplevert die gericht is op een ander hotel op hetzelfde boekingsplatform.
Zodra de kaartgegevens, samen met de vervalgegevens en het CVV-nummer, zijn ingevoerd, probeert de pagina op de achtergrond een transactie te verwerken, terwijl een “supportchat”-venster op het scherm verschijnt met stappen om een zogenaamde “3D Secure-verificatie voor uw creditcard” te voltooien ter beveiliging tegen valse boekingen.
De identiteit van de dreigingsgroep achter de campagne blijft onbekend, maar het gebruik van het Russisch voor commentaar op de broncode en de debugger-uitvoer verwijst naar hun herkomst of is een poging om tegemoet te komen aan potentiële klanten van de phishing-kit die deze mogelijk willen aanpassen aan hun behoeften.
De onthulling komt dagen nadat Sekoia waarschuwde voor een grootschalige phishing-campagne gericht op de horeca, die hotelmanagers naar ClickFix-achtige pagina’s lokt en hun inloggegevens verzamelt door malware zoals PureRAT in te zetten en vervolgens hotelklanten via WhatsApp of e-mails te benaderen met hun reserveringsgegevens en hun boeking te bevestigen door op een link te klikken.
Interessant is dat een van de indicatoren die het Franse cyberbeveiligingsbedrijf deelt – guestverifiy5313-booking(.)com/67122859 – overeenkomt met het domeinpatroon dat is geregistreerd door de bedreigingsacteur (bijvoorbeeld verificatieguets71561-booking(.)com), wat de mogelijkheid vergroot dat deze twee clusters van activiteiten met elkaar in verband kunnen worden gebracht. The Hacker News heeft Netcraft benaderd voor commentaar en we zullen het verhaal bijwerken als we iets horen.
De afgelopen weken hebben grootschalige phishing-campagnes ook de identiteit van meerdere merken zoals Microsoft, Adobe, WeTransfer, FedEx en DHL nagebootst om inloggegevens te stelen door HTML-bijlagen via e-mail te verspreiden. De ingebedde HTML-bestanden vertonen, zodra ze zijn gelanceerd, een valse inlogpagina, terwijl JavaScript-code de door het slachtoffer ingevoerde inloggegevens vastlegt en deze rechtstreeks naar door de aanvaller bestuurde Telegram-bots stuurt, zei Cyble.
De campagne was vooral gericht op een breed scala aan organisaties in Midden- en Oost-Europa, met name in Tsjechië, Slowakije, Hongarije en Duitsland.
“De aanvallers verspreiden phishing-e-mails waarin ze zich voordoen als legitieme klanten of zakenpartners, waarin ze offertes of factuurbevestigingen opvragen”, aldus het bedrijf. “Deze regionale focus komt duidelijk tot uiting in de gerichte ontvangerdomeinen van lokale bedrijven, distributeurs, aan de overheid gelieerde entiteiten en horecabedrijven die routinematig offerteaanvragen en communicatie met leveranciers verwerken.”
Bovendien zijn phishing-kits ingezet in een grootschalige campagne gericht op klanten van Aruba SpA, een van de grootste webhosting- en IT-dienstverleners van Italië, in een soortgelijke poging om gevoelige gegevens en betalingsinformatie te stelen.
De phishing-kit is een “volledig geautomatiseerd, meerfasig platform ontworpen voor efficiëntie en stealth”, aldus Group-IB-onderzoekers Ivan Salipur en Federico Marazzi. “Het maakt gebruik van CAPTCHA-filtering om beveiligingsscans te omzeilen, vult de gegevens van slachtoffers vooraf in om de geloofwaardigheid te vergroten en gebruikt Telegram-bots om gestolen inloggegevens en betalingsinformatie te exfiltreren. Elke functie dient één enkel doel: diefstal van inloggegevens op industriële schaal.”
Deze bevindingen illustreren de groeiende vraag naar phishing-as-a-service (PhaaS)-aanbiedingen in de ondergrondse economie, waardoor bedreigingsactoren met weinig tot geen technische expertise aanvallen op grote schaal kunnen uitvoeren.
“De automatisering die in deze specifieke kit wordt waargenomen, illustreert hoe phishing is gesystematiseerd: sneller in te zetten, moeilijker te detecteren en gemakkelijker te repliceren”, voegde het Singaporese bedrijf eraan toe. “Wat ooit technische expertise vereiste, kan nu op schaal worden uitgevoerd via vooraf gebouwde, geautomatiseerde raamwerken.”
