Một nhóm tấn công nói tiếng Nga đứng sau chiến dịch phishing quy mô lớn đang diễn ra đã đăng ký hơn 4.300 tên miền kể từ đầu năm.
Hoạt động này, theo nhà nghiên cứu bảo mật Andrew Brandt của Netcraft, được thiết kế để nhắm mục tiêu vào khách hàng của ngành khách sạn, đặc biệt là những khách có thể có đặt phòng du lịch thông qua email spam. Chiến dịch được cho là đã bắt đầu mạnh mẽ vào khoảng tháng 2 năm 2025.
Trong số 4.344 tên miền liên quan đến cuộc tấn công, 685 tên miền chứa tên "Booking", tiếp theo là 18 tên miền với "Expedia", 13 với "Agoda" và 12 với "Airbnb", cho thấy nỗ lực nhắm mục tiêu vào tất cả các nền tảng đặt phòng và cho thuê phổ biến.
“Chiến dịch đang diễn ra sử dụng một bộ công cụ phishing tinh vi, tùy chỉnh trang hiển thị cho khách truy cập trang web tùy thuộc vào một chuỗi duy nhất trong đường dẫn URL khi mục tiêu lần đầu truy cập trang web,” Brandt cho biết. “Các tùy chỉnh sử dụng logo từ các thương hiệu lớn trong ngành du lịch trực tuyến, bao gồm Airbnb và Booking.com.”
Cuộc tấn công bắt đầu bằng một email phishing yêu cầu người nhận nhấp vào một liên kết để xác nhận đặt phòng trong vòng 24 giờ tới bằng thẻ tín dụng. Nếu nạn nhân cắn câu, họ sẽ bị đưa đến một trang web giả mạo thay vì trang thật sau khi khởi tạo một chuỗi chuyển hướng. Các trang web giả mạo này tuân theo các mẫu đặt tên nhất quán cho tên miền của chúng, với các cụm từ như confirmation, booking, guestcheck, cardverify, hoặc reservation để tạo ảo giác hợp pháp.
Các trang này hỗ trợ 43 ngôn ngữ khác nhau, cho phép các tác nhân đe dọa giăng lưới rộng. Trang sau đó hướng dẫn nạn nhân thanh toán tiền đặt cọc cho đặt phòng khách sạn của họ bằng cách nhập thông tin thẻ. Trong trường hợp bất kỳ người dùng nào cố gắng truy cập trực tiếp trang mà không có một mã định danh duy nhất gọi là AD_CODE, họ sẽ thấy một trang trống. Các trang web giả mạo cũng có tính năng kiểm tra CAPTCHA giả mạo bắt chước Cloudflare để lừa mục tiêu.
“Sau lần truy cập ban đầu, giá trị AD_CODE được ghi vào một cookie, đảm bảo rằng các trang tiếp theo hiển thị cùng một thương hiệu giả mạo cho khách truy cập trang web khi họ nhấp qua các trang,” Netcraft cho biết. Điều này cũng có nghĩa là việc thay đổi giá trị "AD_CODE" trong URL sẽ tạo ra một trang nhắm mục tiêu một khách sạn khác trên cùng một nền tảng đặt phòng.
Ngay sau khi các chi tiết thẻ, cùng với ngày hết hạn và số CVV được nhập, trang sẽ cố gắng xử lý một giao dịch ngầm, trong khi một cửa sổ "support chat" xuất hiện trên màn hình với các bước để hoàn thành một "3D Secure verification for your credit card" giả định để bảo vệ chống lại các đặt phòng giả mạo.
Danh tính của nhóm tấn công đứng sau chiến dịch này vẫn chưa được biết, nhưng việc sử dụng tiếng Nga cho các bình luận mã nguồn và đầu ra debugger có thể ám chỉ nguồn gốc của chúng hoặc là một nỗ lực để phục vụ các khách hàng tiềm năng của bộ công cụ phishing có thể đang tìm cách tùy chỉnh nó để phù hợp với nhu cầu của họ.
Các chiến dịch phishing liên quan
Thông tin này được đưa ra vài ngày sau khi Sekoia cảnh báo về một chiến dịch phishing quy mô lớn nhắm vào ngành khách sạn, lôi kéo các quản lý khách sạn đến các trang kiểu ClickFix để thu thập thông tin đăng nhập của họ bằng cách triển khai các phần mềm độc hại như PureRAT và sau đó tiếp cận khách hàng của khách sạn qua WhatsApp hoặc email với chi tiết đặt phòng của họ và xác nhận đặt phòng bằng cách nhấp vào một liên kết.
Điều thú vị là, một trong những chỉ số được công ty an ninh mạng Pháp chia sẻ – guestverifiy5313-booking[.]com/67122859 – khớp với mẫu tên miền được đăng ký bởi tác nhân đe dọa (ví dụ: verifyguets71561-booking[.]com), làm tăng khả năng hai nhóm hoạt động này có liên quan. The Hacker News đã liên hệ với Netcraft để bình luận, và chúng tôi sẽ cập nhật câu chuyện nếu nhận được phản hồi.
Trong những tuần gần đây, các chiến dịch phishing quy mô lớn cũng đã mạo danh nhiều thương hiệu như Microsoft, Adobe, WeTransfer, FedEx và DHL để đánh cắp thông tin đăng nhập bằng cách phân phối các tệp đính kèm HTML qua email. Cyble cho biết, các tệp HTML được nhúng, sau khi khởi chạy, sẽ hiển thị một trang đăng nhập giả mạo trong khi mã JavaScript thu thập thông tin đăng nhập do nạn nhân nhập và gửi trực tiếp đến các Telegram bots do kẻ tấn công kiểm soát.
Chiến dịch này chủ yếu nhắm mục tiêu vào một loạt các tổ chức trên khắp Trung và Đông Âu, đặc biệt là ở Cộng hòa Séc, Slovakia, Hungary và Đức.
“Những kẻ tấn công phân phối email phishing giả mạo là khách hàng hoặc đối tác kinh doanh hợp pháp, yêu cầu báo giá hoặc xác nhận hóa đơn,” công ty chỉ ra. “Sự tập trung vào khu vực này được thể hiện rõ qua các tên miền người nhận mục tiêu thuộc về các doanh nghiệp địa phương, nhà phân phối, các tổ chức liên kết với chính phủ và các công ty khách sạn thường xuyên xử lý RFQs và thông tin liên lạc của nhà cung cấp.”
Phishing-as-a-Service (PhaaS) và sự tự động hóa
Hơn nữa, các bộ công cụ phishing đã được sử dụng trong một chiến dịch quy mô lớn nhắm vào khách hàng của Aruba S.p.A, một trong những nhà cung cấp dịch vụ hosting web và IT lớn nhất của Ý, trong một nỗ lực tương tự để đánh cắp dữ liệu nhạy cảm và thông tin thanh toán.
Các nhà nghiên cứu Ivan Salipur và Federico Marazzi của Group-IB cho biết bộ công cụ phishing này là một “nền tảng đa giai đoạn, hoàn toàn tự động được thiết kế để hoạt động hiệu quả và bí mật”. “Nó sử dụng tính năng lọc CAPTCHA để tránh các bản quét bảo mật, điền trước dữ liệu nạn nhân để tăng độ tin cậy và sử dụng Telegram bots để trích xuất thông tin đăng nhập và thông tin thanh toán bị đánh cắp. Mọi chức năng đều phục vụ một mục tiêu duy nhất: đánh cắp thông tin đăng nhập trên quy mô công nghiệp.”
Những phát hiện này minh họa nhu cầu ngày càng tăng đối với các dịch vụ phishing-as-a-service (PhaaS) trong nền kinh tế ngầm, cho phép các tác nhân đe dọa có ít hoặc không có chuyên môn kỹ thuật thực hiện các cuộc tấn công trên quy mô lớn.
“Sự tự động hóa được quan sát trong bộ công cụ cụ thể này minh họa cách phishing đã được hệ thống hóa – nhanh hơn để triển khai, khó phát hiện hơn và dễ nhân rộng hơn,” công ty Singapore nói thêm. “Những gì từng đòi hỏi chuyên môn kỹ thuật giờ đây có thể được thực hiện trên quy mô lớn thông qua các framework tự động, được xây dựng sẵn.”
