Các nhà nghiên cứu an ninh mạng đã cảnh báo về một chiến dịch phishing quy mô lớn nhắm vào ngành khách sạn, dụ dỗ các quản lý khách sạn đến các trang kiểu ClickFix và thu thập thông tin đăng nhập của họ bằng cách triển khai mã độc như PureRAT.
Sekoia cho biết: "Thủ đoạn của kẻ tấn công liên quan đến việc sử dụng một tài khoản email bị chiếm đoạt để gửi các tin nhắn độc hại đến nhiều cơ sở khách sạn." "Chiến dịch này sử dụng các email spear-phishing giả mạo Booking.com để chuyển hướng nạn nhân đến các trang web độc hại, áp dụng chiến thuật social engineering ClickFix để triển khai PureRAT."
Mục tiêu cuối cùng của chiến dịch là đánh cắp thông tin đăng nhập từ các hệ thống bị xâm nhập, cho phép các threat actor truy cập trái phép vào các nền tảng đặt phòng như Booking.com hoặc Expedia. Những thông tin này sau đó được rao bán trên các diễn đàn tội phạm mạng hoặc được sử dụng để gửi email lừa đảo cho khách hàng khách sạn nhằm thực hiện hành vi gian lận.
Hoạt động này được đánh giá là đã diễn ra từ ít nhất tháng 4 năm 2025 và vẫn đang hoạt động tính đến đầu tháng 10 năm 2025. Đây là một trong số nhiều chiến dịch đã được phát hiện, bao gồm một loạt các cuộc tấn công đã được Microsoft ghi nhận vào tháng 3 vừa qua.
Chiến dịch Phishing nhắm vào quản lý khách sạn
Trong đợt tấn công mới nhất được công ty an ninh mạng Pháp phân tích, các tin nhắn email được gửi từ một tài khoản email bị chiếm đoạt để nhắm mục tiêu vào nhiều khách sạn ở nhiều quốc gia, lừa người nhận nhấp vào các liên kết giả mạo. Các liên kết này kích hoạt một chuỗi chuyển hướng đến một trang ClickFix với một thử thách reCAPTCHA được cho là để "đảm bảo tính bảo mật kết nối của bạn".
Cách thức lây nhiễm và hoạt động của PureRAT
Sekoia giải thích: "Khi truy cập, URL sẽ chuyển hướng người dùng đến một trang web chứa JavaScript với một hàm bất đồng bộ. Sau một thời gian ngắn, hàm này kiểm tra xem trang có được hiển thị trong một iframe hay không." "Mục tiêu là chuyển hướng người dùng đến cùng một URL nhưng qua HTTP."
Điều này khiến nạn nhân sao chép và thực thi một lệnh PowerShell độc hại để thu thập thông tin hệ thống và tải xuống một file ZIP. File ZIP này, đến lượt nó, chứa một binary cuối cùng sẽ thiết lập khả năng duy trì truy cập (persistence) và tải PureRAT (hay còn gọi là zgRAT) thông qua kỹ thuật DLL side-loading.
Mã độc dạng mô-đun này hỗ trợ nhiều tính năng đa dạng, như truy cập từ xa, điều khiển chuột và bàn phím, quay video webcam và ghi âm micro, keylogging, tải lên/tải xuống file, định tuyến lưu lượng (traffic proxying), đánh cắp dữ liệu (data exfiltration) và thực thi lệnh hoặc binary từ xa. Nó cũng được bảo vệ bởi .NET Reactor để làm phức tạp quá trình reverse engineering và thiết lập persistence trên host bằng cách tạo một Run registry key.
Phishing khách hàng và thị trường đen dữ liệu
Ngoài ra, chiến dịch này còn tiếp cận khách hàng của khách sạn thông qua WhatsApp hoặc email với các chi tiết đặt phòng hợp pháp, đồng thời hướng dẫn họ nhấp vào một liên kết như một phần của quy trình xác minh và xác nhận thông tin thẻ ngân hàng để tránh việc đặt phòng bị hủy.
Những người dùng không cảnh giác nhấp vào liên kết sẽ bị đưa đến một trang đích giả mạo Booking.com hoặc Expedia, nhưng thực chất được thiết kế để đánh cắp thông tin thẻ của họ.
Các threat actor đứng sau âm mưu này được cho là đang thu thập thông tin về các quản trị viên của các cơ sở Booking.com từ các diễn đàn tội phạm như LolzTeam, trong một số trường hợp thậm chí còn đề nghị thanh toán dựa trên tỷ lệ phần trăm lợi nhuận. Các chi tiết thu được sau đó được sử dụng để social engineering họ lây nhiễm hệ thống của họ bằng một infostealer hoặc remote access trojan (RAT). Nhiệm vụ này được giao cho các traffers, những chuyên gia chuyên trách việc phân phối mã độc.
Sekoia cho biết: "Tài khoản Booking.com extranet đóng vai trò quan trọng trong các âm mưu gian lận nhắm vào ngành khách sạn." "Do đó, dữ liệu thu thập được từ các tài khoản này đã trở thành một mặt hàng béo bở, thường xuyên được rao bán trên các thị trường bất hợp pháp."
Kẻ tấn công trao đổi các tài khoản này dưới dạng authentication cookies hoặc cặp login/password được trích xuất từ các infostealer logs, do dữ liệu thu thập được này thường bắt nguồn từ việc hệ thống của quản trị viên khách sạn bị mã độc xâm nhập.
Công ty cho biết họ đã quan sát thấy một Telegram bot để mua Booking.com logs, cũng như một threat actor có tên "moderator_booking" quảng cáo dịch vụ mua Booking log để có được các log liên quan đến Booking.com, Expedia, Airbnb và Agoda. Họ tuyên bố các log được kiểm tra thủ công trong vòng 24-48 giờ.
Điều này thường được thực hiện bằng cách sử dụng các log checker tools, có sẵn với giá chỉ 40 USD trên các diễn đàn tội phạm mạng, để xác thực các tài khoản bị xâm nhập thông qua proxies nhằm đảm bảo rằng thông tin đăng nhập đã thu thập vẫn còn hiệu lực.
Sự chuyên nghiệp hóa của tội phạm mạng
Sekoia nhận định: "Sự phát triển của các dịch vụ tội phạm mạng hỗ trợ từng bước trong chuỗi tấn công Booking.com phản ánh sự chuyên nghiệp hóa của mô hình lừa đảo này." "Bằng cách áp dụng mô hình 'as-a-service', tội phạm mạng hạ thấp rào cản gia nhập và tối đa hóa lợi nhuận."
Sự phát triển của kỹ thuật ClickFix
Sự phát triển này diễn ra khi Push Security đã trình bày chi tiết về một bản cập nhật cho chiến thuật social engineering ClickFix, khiến nó trở nên thuyết phục hơn đối với người dùng bằng cách bao gồm một video nhúng, bộ đếm ngược và bộ đếm "người dùng đã xác minh trong giờ qua" cùng với các hướng dẫn để tăng tính xác thực cảm nhận và lừa người dùng hoàn thành kiểm tra mà không cần suy nghĩ quá nhiều.
Một cập nhật đáng chú ý khác là trang này có khả năng tự điều chỉnh để hiển thị các hướng dẫn phù hợp với hệ điều hành của nạn nhân, yêu cầu họ mở Windows Run dialog hoặc macOS Terminal app tùy thuộc vào thiết bị họ đang truy cập. Các trang này cũng ngày càng được trang bị để tự động sao chép mã độc vào clipboard của người dùng, một kỹ thuật được gọi là clipboard hijacking.
Push Security cho biết: "Các trang ClickFix ngày càng trở nên tinh vi, khiến nạn nhân dễ mắc bẫy social engineering hơn." "Các payload của ClickFix đang trở nên đa dạng hơn và tìm ra những cách mới để né tránh các biện pháp kiểm soát an ninh."
