¡A todos los viajeros! Cuidado con los ataques de phishing dirigidos a Booking.com


Un ataque de phishing es un tipo de estafa de ingeniería social en la que un atacante engaña a una víctima para que divulgue información confidencial.

En un ataque de phishing, el atacante a menudo se hace pasar por una organización confiable, como un banco o una empresa, a través de correo electrónico, mensaje de texto o llamada telefónica para engañar a la víctima para que haga clic en un enlace o archivo adjunto malicioso.

Los investigadores de ciberseguridad de OSINTMATTER advirtieron recientemente a los viajeros sobre un ataque de phishing con el tema de Booking(.)com.

Un sofisticado ataque de phishing se dirige a Booking(.)com comprometiendo las cuentas de los hoteleros y engañando a los clientes.

En este caso, el actor de la amenaza utiliza un dominio falso (extraknet-booking(.)com) que imita el legítimo “extranet-booking.com”.

Página falsa (Fuente: OSINTMATTER)

Usan ofuscación de JavaScript usando parseInt para codificar cadenas que contienen “texto cirílico” (“загружено” o “cargado”), lo que probablemente indica un origen de habla rusa.

Los investigadores advirtieron que este ataque utiliza el envenenamiento de SEO para mejorar la clasificación de los sitios maliciosos en los resultados de búsqueda.

En particular, se observaron solicitudes vinculantes “238 STUN” (Session Traversal Utilities for NAT) utilizando puertos altos no estándar para una posible filtración de datos y para mantener la comunicación con los sistemas comprometidos.

Cumplimiento de la decodificación: lo que los CISO deben saber: únase a nuestro seminario web gratuito

Este ataque está asociado con el troyano Ninja, un complejo malware que puede evadir la detección cargándolo en la memoria. Entre ellos hay docenas de sitios asociados con scripts de sitios de phishing.

Esta técnica utiliza “perforación UDP” para ayudar a penetrar los firewalls NAT y comprometer la red interna del objetivo.

Este enfoque sofisticado combina varios elementos técnicos para crear una amenaza altamente efectiva y en evolución.

Un sofisticado ataque de phishing contra Booking(.)com empleó técnicas sofisticadas para evadir la detección y maximizar el impacto.

URL oculta (Fuente – OSINTMATTER)

La raíz de este ataque es el uso de encubrimiento dinámico, que permite a un atacante crear un portal falso malicioso, una página de Booking(.)com genuina o una página de error, dependiendo de factores como la dirección IP y la configuración del navegador. es poder mostrar

La infraestructura de ataque incluía un dominio falso (extraknet-booking(.)com) y empleaba ofuscación de JavaScript para ocultar el código malicioso. Además, se utilizaron solicitudes vinculantes STUN y perforación UDP para mantener el acceso persistente.

Un componente clave era un iFrame vinculado a cientos de otras páginas de phishing que servía como centro para distribuir contenido malicioso.

Este iFrame apunta a httxxx://ls.cdn-gw-dv(.)vip/+dedge/zd/zd-service(.)html y proporciona administración centralizada, amplio alcance y es posible realizar un seguimiento de la efectividad del ataque.

La página de phishing mostró varios comportamientos durante las pruebas, incluidos tiempos de espera y errores 404 causados ​​por la inyección RST.

En este caso, la sofisticación del ataque sugiere un vínculo con el malware troyano “Ninja”.

El objetivo principal parece haber sido infectar los dispositivos de los administradores de hoteles, quizás un precursor de la siguiente etapa del ataque, que explotará el sistema de chat de Booking(.)com para distribuir enlaces maliciosos a los clientes.

¿Forma parte de un equipo SOC/DFIR? – Pruebe el análisis avanzado de malware y phishing con ANY.RUN – Prueba gratuita de 14 días

Attention Travelers! Beware of Booking.com Themed Phishing Attacks