Siber güvenlik araştırmacıları, otel yöneticilerini ClickFix tarzı sayfalara çeken ve PureRAT gibi kötü amaçlı yazılımlar dağıtarak kimlik bilgilerini toplayan konaklama sektörünü hedef alan büyük bir kimlik avı kampanyasına dikkat çekti.
Sekoia, “Saldırganın çalışma şekli, güvenliği ihlal edilmiş bir e-posta hesabını kullanarak birden fazla otel işletmesine kötü amaçlı mesajlar göndermeyi içeriyordu.” dedi. “Bu kampanya, mağdurları kötü amaçlı web sitelerine yönlendirmek için Booking.com’un kimliğine bürünen hedef odaklı kimlik avı e-postalarından yararlanıyor ve PureRAT’ı dağıtmak için ClickFix sosyal mühendislik taktiğini kullanıyor.”
Kampanyanın nihai hedefi, tehdit aktörlerine Booking.com veya Expedia gibi rezervasyon platformlarına yetkisiz erişim sağlayan, daha sonra siber suç forumlarında satılan veya sahtekarlık yapmak amacıyla otel müşterilerine sahte e-postalar göndermek için kullanılan, güvenliği ihlal edilmiş sistemlerden kimlik bilgilerini çalmak.
Etkinliğin en az Nisan 2025’ten bu yana aktif olduğu ve Ekim 2025’in başlarından itibaren faaliyete geçtiği değerlendiriliyor. Bu, Microsoft tarafından bu Mart ayı başlarında belgelenen bir dizi saldırı da dahil olmak üzere, hedef alındığı gözlemlenen birkaç kampanyadan biri.
Fransız siber güvenlik şirketi tarafından analiz edilen son dalgada, e-posta mesajları, güvenliği ihlal edilmiş bir e-posta hesabından birden fazla ülkedeki birkaç oteli hedeflemek için gönderiliyor ve alıcıları, “bağlantınızın güvenliğini sağlamak” için sözde bir reCAPTCHA mücadelesiyle bir ClickFix sayfasına yönlendirme zincirini tetikleyen sahte bağlantılara tıklamaları için kandırılıyor.
Sekoia, “Ziyaret sırasında URL, kullanıcıları kısa bir gecikmeden sonra sayfanın bir iframe içinde görüntülenip görüntülenmediğini kontrol eden eşzamansız işleve sahip JavaScript barındıran bir web sayfasına yönlendiriyor.” dedi. “Amaç, kullanıcıyı HTTP üzerinden aynı URL’ye yönlendirmektir.”
Bu, kurbanın sistem bilgilerini toplayan ve bir ZIP arşivi indiren kötü amaçlı bir PowerShell komutunu kopyalayıp yürütmesine neden olur; bu da sonuçta kalıcılığı ayarlayan ve DLL tarafından yandan yükleme yoluyla PureRAT’ı (aka zgRAT) yükleyen bir ikili dosya içerir.
Modüler kötü amaçlı yazılım, uzaktan erişim, fare ve klavye kontrolü, web kamerası ve mikrofon yakalama, tuş günlüğü tutma, dosya yükleme/indirme, trafik proxy oluşturma, veri sızdırma ve komutların veya ikili dosyaların uzaktan yürütülmesi gibi çok çeşitli özellikleri destekler. Ayrıca tersine mühendisliği karmaşık hale getirmek için .NET Reactor tarafından korunur ve ayrıca bir Çalıştır kayıt defteri anahtarı oluşturarak ana bilgisayarda kalıcılık sağlar.
Ayrıca, kampanyanın otel müşterilerine WhatsApp veya e-posta yoluyla meşru rezervasyon bilgileriyle yaklaştığı, rezervasyonlarının iptal edilmesini önlemek için onlara doğrulama sürecinin bir parçası olarak bir bağlantıya tıklamaları ve banka kartı bilgilerini doğrulamaları talimatı verdiği tespit edildi.
Bağlantıyı tıklayan şüphelenmeyen kullanıcılar, Booking.com veya Expedia’yı taklit eden, ancak gerçekte kart bilgilerini çalmak üzere tasarlanmış sahte bir açılış sayfasına yönlendiriliyor.
Planın arkasındaki tehdit aktörlerinin, Booking.com kuruluşlarının yöneticileri hakkında LolzTeam gibi suç forumlarından bilgi temin ettiği, hatta bazı durumlarda kârın belirli bir yüzdesine göre ödeme teklif ettiği değerlendiriliyor. Elde edilen ayrıntılar daha sonra, sistemlerine bir bilgi hırsızı veya uzaktan erişim truva atı (RAT) bulaştırmaları için sosyal mühendislik yapmak için kullanılıyor. Bu görev, kötü amaçlı yazılım dağıtımından sorumlu özel uzmanlar olan trafikçilere seçici olarak dış kaynak olarak verilmektedir.
Sekoia, “Booking.com extranet hesapları konaklama sektörünü hedef alan dolandırıcılık planlarında çok önemli bir rol oynuyor” dedi. “Sonuç olarak, bu hesaplardan toplanan veriler, yasadışı pazarlarda düzenli olarak satışa sunulan kazançlı bir ürün haline geldi.”
“Saldırganlar, bu hesapları kimlik doğrulama çerezleri veya bilgi hırsızlığı günlüklerinden elde edilen kullanıcı adı/şifre çiftleri olarak satarlar; zira toplanan bu veriler genellikle otel yöneticilerinin sistemlerindeki kötü amaçlı yazılımların ele geçirilmesinden kaynaklanmaktadır.”
Şirket, Booking.com günlüklerini satın alan bir Telegram botunun yanı sıra Booking.com, Expedia, Airbnb ve agoda ile ilişkili günlükleri elde etmek için bir Rezervasyon günlüğü satın alma hizmetinin reklamını yapan “moderator_booking” adlı bir tehdit aktörünün gözlemlendiğini söyledi. Günlüklerin 24-48 saat içinde manuel olarak kontrol edildiğini iddia ediyorlar.
Bu genellikle, siber suç forumlarında 40 ABD Doları gibi düşük bir ücret karşılığında bulunabilen ve toplanan kimlik bilgilerinin hala geçerli olduğundan emin olmak için ele geçirilen hesapların kimliğini proxy’ler aracılığıyla doğrulayan günlük kontrol araçları aracılığıyla gerçekleştirilir.
Sekoia, “Booking.com saldırı zincirinin her adımını destekleyen siber suç hizmetlerinin yaygınlaşması, bu dolandırıcılık modelinin profesyonelleşmesini yansıtıyor” dedi. “Siber suçlular, ‘hizmet olarak’ modelini benimseyerek giriş engellerini azaltır ve karı en üst düzeye çıkarır.”
Bu gelişme, Push Security’nin ClickFix sosyal mühendislik taktiğine yönelik bir güncellemeyi detaylandırmasıyla birlikte geliyor; bu güncelleme, yerleşik bir video, geri sayım sayacı ve “son saatte doğrulanan kullanıcılar” için bir sayaç ile birlikte algılanan orijinalliği artırma ve kullanıcıyı çok fazla düşünmeden kontrolü tamamlaması için kandırmaya yönelik talimatlar ekleyerek onu kullanıcılar için daha da ikna edici hale getiriyor.
Dikkate değer bir diğer güncelleme ise sayfanın, kurbanın işletim sistemiyle eşleşen talimatları görüntüleyecek şekilde kendisini uyarlayabilmesi ve kurbandan, ziyaret ettiği cihaza bağlı olarak Windows Çalıştır iletişim kutusunu veya macOS Terminal uygulamasını açmasını isteyebilmesidir. Sayfalar ayrıca, pano ele geçirme adı verilen bir teknikle, kötü amaçlı kodu otomatik olarak kullanıcının panosuna kopyalamak için giderek daha fazla donanıma sahip oluyor.
Push Security, “ClickFix sayfaları giderek daha karmaşık hale geliyor ve bu da kurbanların sosyal mühendisliğe kanma olasılığını artırıyor” dedi. “ClickFix verileri giderek daha çeşitli hale geliyor ve güvenlik kontrollerinden kaçmanın yeni yollarını buluyor.”