Güvenlik uzmanlarının ortaya çıkardığı araştırmaya göre, karmaşık bir kimlik avı kampanyası, ele geçirilen Booking.com hesapları aracılığıyla otel işletmelerini ve misafirlerini aktif olarak hedef alıyor.
Mağdurların rezervasyonları için iki kez ödeme yaptıklarına dair kanıtlar nedeniyle “İki Kez Ödedim” adı verilen kampanya, en az Nisan 2025’ten bu yana faaliyet gösteriyor ve Ekim 2025 itibarıyla da aktif olmaya devam ediyor.
Saldırı planı, kimlik bilgisi hırsızlığını çok aşamalı kötü amaçlı yazılım dağıtımıyla birleştirerek küresel konaklama sektörünü hedef alan karmaşık bir tehdit oluşturuyor.
Operasyon, tehdit aktörlerinin meşru Booking.com iletişimlerini taklit eden hedef odaklı kimlik avı e-postaları yoluyla otel yönetici sistemlerini ele geçirmesiyle başlıyor.
.webp)
Bu e-postalar, konuk rezervasyonlarına ve rezervasyon platformu faaliyetlerine atıfta bulunan, dikkatle hazırlanmış mesajlar içerir ve şüphelenmeyen alıcılara güvenilirlik kazandırır.
E-postalar, ClickFix sosyal mühendislik taktiğini uygulamadan önce kurbanları gelişmiş bir yönlendirme altyapısı aracılığıyla yönlendiren kötü amaçlı URL’ler içeriyor.
Kurbanlar indirilen komutları çalıştırdıktan sonra, kötü amaçlı yazılım sistemlerine bulaşarak saldırganların Booking.com ve Expedia gibi rezervasyon platformları için profesyonel kimlik bilgilerine erişmesine olanak tanıyor.
Bu operasyonu destekleyen daha geniş suç ekosistemi, siber suç topluluklarında endişe verici düzeyde profesyonelleşmeyi ortaya koyuyor.
Tehdit aktörleri otel yöneticisinin kimlik bilgilerini topluyor ve bunları Rusça konuşulan siber suç forumları ve pazaryerleri aracılığıyla satıyor.
Gelişmiş ülkelerdeki birden fazla mülkü yöneten yüksek değerli, tehlikeye atılmış Booking.com hesapları, aktivite seviyelerine ve rezervasyon hacimlerine bağlı olarak 5 ila 5.000 ABD Doları arasında fiyatlar talep ediyor.
Çalınan kimlik bilgilerinin bu şekilde metalaştırılması, özel hizmetlerin saldırı zincirinin her aşamasını ele aldığı, kendi kendini idame ettiren bir dolandırıcılık hattı yarattı.
Sekoia güvenlik araştırmacıları, bu enfeksiyon zincirinin merkezinde kötü amaçlı yazılım ailesi PureRAT’ı tespit etti.
PureRAT, ClickFix yeniden yönlendirme mekanizması aracılığıyla dağıtıldıktan sonra, sistem bilgilerini toplayan ve ek yük dosyalarını indiren PowerShell komutlarını yürütür.
Kötü amaçlı yazılım, Windows kayıt defteri değişiklikleri yoluyla kalıcılık sağlıyor ve DLL yandan yükleme tekniklerini kullanarak karmaşık bir yükleme mekanizması uyguluyor.
Enfeksiyon Mekanizmasının Teknik Dağılımı
Saldırı, kurbanların ele geçirilen otel hesaplarından kimlik avı e-postaları almasıyla başlıyor. Kötü amaçlı URL’ler hxxps://{randomname} modelini takip ederek rastgele etki alanları üzerinden yönlendirme yapar[.]com/[a-z0-9]{4}.
Bu alanlar, kullanıcıları ClickFix sayfalarına yönlendirmeden önce iframe bağlamlarını kontrol eden gelişmiş JavaScript kullanır.
.webp)
Yeniden yönlendirme altyapısı, ticarileştirilmiş bir Trafik Dağıtım Sistemi (TDS) görevi görerek saldırganın birincil altyapısını tespit ve kaldırma çalışmalarından gizler.
Her yeniden yönlendirme adımında, sosyal mühendislik aşamasında algılanan meşruiyeti korumak için “admin” ve “extranet” gibi anahtar kelimeleri içeren URL kalıpları dikkatlice korunur.
Kullanıcılar ClickFix sayfalarına geldiklerinde, komutları kopyalamalarını isteyen bir reCAPTCHA arayüzünün yanı sıra Booking.com marka öğeleriyle de karşılaşıyorlar.
Kopyalanan komut, kullanıcının farkında olmadan yürütülen Base64 kodlu PowerShell talimatlarını içerir.
Bu ilk PowerShell komutu, enfeksiyon ilerlemesini düzenleyen /bomla ile biten hazırlama URL’lerinden ikincil komut dosyalarını indirir.
Yükleyici, çalıştırılabilir ve dinamik bağlantı kitaplığı dosyalarını içeren bir ZIP arşivini indirmeden önce makine adı, geçerli kullanıcı, Windows sürümü ve yüklü antivirüs ürünleri dahil olmak üzere kapsamlı sistem bilgilerini toplar.
Kalıcılık mekanizmaları, kötü amaçlı yazılımın sistem yeniden başlatıldığında hayatta kalmasını sağlamak için birden fazla teknik kullanır. Yükleme işlemi, CurrentVersion\Run altında, ayıklanan ikili dosyayı yükleyen PowerShell komutlarını yürüten Çalıştır kayıt defteri anahtarlarını oluşturur.
Ayrıca, önyükleme sıraları sırasında yürütmeyi tetiklemek için Windows Başlangıç dizinine kısayol dosyaları (.lnk) yerleştirilir.
Kötü amaçlı yazılım, her bulaşma aşamasında Komuta ve Kontrol sunucuları aracılığıyla durum güncellemelerini rapor ederek başarılı ilerlemeyi doğruluyor.
.exe ikili dosyası, COM eklentilerini barındırmak için tasarlanmış meşru bir Windows bileşeni olan AddInProcess32.exe’yi kullanarak DLL yan yüklemesini tetikler.
Bu teknik, PureRAT’ın dosyaları diske yazmadan tamamen bellekte çalıştırılmasına olanak tanır, algılama çabalarını önemli ölçüde karmaşıklaştırır ve geleneksel imza tabanlı güvenlik araçlarını atlayan dosyasız kötü amaçlı yazılım yürütülmesine olanak tanır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
