サイバーセキュリティ専門家によって、Booking.comのパートナーアカウントを悪用した大規模なフィッシング作戦が明らかになりました。
本日公開された最新のSekoia.ioレポートでは、サイバー犯罪者が少なくとも2025年4月から活動している高度なマルウェアキャンペーンを通じて、ホテルのシステムや顧客データを侵害した手口が詳述されています。
侵入は、攻撃者が正規のホテルアカウントから、またはBooking.comになりすまして悪意のあるメールを送信したことから始まりました。各メッセージには、被害者をリダイレクトチェーンに誘導し、その後いわゆるClickFixソーシャルエンジニアリング手法を展開するリンクが含まれていました。
被害者は、マルウェアをダウンロードするPowerShellコマンドの実行を促され、最終的にPureRATリモートアクセス型トロイの木馬に感染しました。
PureRATは、攻撃者が感染したマシンを遠隔操作したり、認証情報を盗み取ったり、スクリーンショットを取得したり、機密データを流出させたりすることを可能にします。そのモジュール設計により、機能拡張のためのプラグイン追加も可能です。
アナリストによれば、このマルウェアは当初、ホテルスタッフを標的にしてBooking.com、Airbnb、Expediaなどの予約プラットフォームのログイン認証情報を盗み出していました。これらの認証情報はサイバー犯罪フォーラムで販売されたり、詐欺行為に直接利用されたりしていました。
ホスピタリティ業界を標的にしたフィッシングキャンペーンについてさらに読む:Otelier侵害で50万人分のホテル宿泊者データが流出
パートナー認証情報を入手した脅威アクターは、銀行認証に問題があると主張してホテルの宿泊客にメールやWhatsAppで連絡しました。
メッセージには本物の予約情報が含まれており、信頼性を高めていました。被害者は支払い情報を収集するために作られた偽のBooking.comページに誘導されました。これらのサイトはCloudflareの保護下にあり、ロシアのインフラに接続されており、正規のレイアウトを模倣して検知を回避していました。
Sekoia.ioのアナリストは、ロシア語フォーラムでBooking.comの認証情報が活発に取引されていることも観察しました。これらのアカウントへのアクセス情報(認証クッキーやログインペアとして販売)は、価値に応じて5ドルから5,000ドルで取引されていました。
「moderator_booking」というユーザーは、2,000万ドル以上の利益を得たと主張しているとされています。攻撃者はその後、Agodaアカウントにも活動範囲を拡大しています。
このキャンペーンは、ホスピタリティ業界を標的としたサイバー犯罪の高度な組織化を示しています。
「この詐欺スキームの被害者となった顧客は、予約のためにホテルで一度、サイバー犯罪者に一度、合計二重に支払ったと高い確信を持って評価しています」とSekoia.ioは記しています。
「敵対者のインフラを明らかにしたところ、2025年10月時点で数百の悪意あるドメインが数か月間稼働しており、しぶとく、かつ収益性の高いキャンペーンであることが示されました。」
同社は、予約プラットフォームとその顧客を保護するため、敵対者インフラの監視と検知手法の改善を継続していると付け加えました。
翻訳元: https://www.infosecurity-magazine.com/news/i-paid-twice-phishing-campaign/
