Se ha registrado una amenaza de habla rusa detrás de una campaña de suplantación de identidad masiva en curso más de 4.300 nombres de dominio desde principios de año.
El actividad , según Andrew Brandt, investigador de seguridad de Netcraft, está diseñado para dirigirse a los clientes de la industria hotelera, específicamente a los huéspedes de hoteles que pueden tener reservas de viaje con correos electrónicos no deseados. Se dice que la campaña comenzó en serio alrededor de febrero de 2025.
De los 4.344 dominios relacionados con el ataque, 685 contienen el nombre «Booking», seguido de 18 con «Expedia», 13 con «Agoda» y 12 con «Airbnb», lo que indica un intento de atacar todas las plataformas populares de reservas y alquileres.
«La campaña en curso emplea un sofisticado kit de suplantación de identidad que personaliza la página que se presenta al visitante del sitio en función de una cadena única en la ruta URL cuando el objetivo visita el sitio web por primera vez», dijo Brandt. «Las personalizaciones utilizan los logotipos de las principales marcas del sector de viajes en línea, como Airbnb y Booking.com».
El ataque comienza con un correo electrónico de suplantación de identidad que insta a los destinatarios a hacer clic en un enlace para confirmar su reserva en las próximas 24 horas con una tarjeta de crédito. Si morden el anzuelo, las víctimas son llevadas a un sitio falso tras iniciar una cadena de redireccionamientos. Estos sitios falsos siguen patrones de nomenclatura consistentes para sus dominios, e incluyen frases como confirmación, reserva, guestcheck, cardverify o reserva para darles la impresión de que son legítimos.
Las páginas admiten 43 idiomas diferentes, lo que permite a los actores de la amenaza tener una amplia red. Luego, la página indica a la víctima que pague un depósito para su reserva de hotel ingresando la información de su tarjeta. En el caso de que algún usuario intente acceder directamente a la página sin un identificador único llamado AD_CODE, recibirá una página en blanco. Los sitios falsos también incluyen una verificación de CAPTCHA falsa que imita a Cloudflare para engañar al objetivo.
«Tras la visita inicial, el valor AD_CODE se escribe en una cookie, lo que garantiza que las páginas siguientes muestren la misma apariencia de marca suplantada al visitante del sitio cuando hace clic en las páginas», afirma Netcraft. Esto también significa que, al cambiar el valor «AD_CODE» en la URL, se generará una página orientada a un hotel diferente en la misma plataforma de reservas.
Tan pronto como se introducen los detalles de la tarjeta, junto con los datos de caducidad y el número CVV, la página intenta procesar una transacción en segundo plano, mientras que en la pantalla aparece una ventana de «chat de asistencia» con los pasos para completar una supuesta «verificación 3D Secure de su tarjeta de crédito» para protegerse contra reservas falsas.
Se desconoce la identidad del grupo de amenazas que está detrás de la campaña, pero el uso del ruso para los comentarios sobre el código fuente y los resultados del depurador alude a su procedencia o es un intento de atender a los posibles clientes del kit de suplantación de identidad que deseen personalizarlo para que se adapte a sus necesidades.
La revelación se produce días después de Sekoia. prevenido de una campaña de suplantación de identidad a gran escala dirigida al sector hotelero que atrae a los directores de hoteles a páginas tipo ClickFix y recopilan sus credenciales mediante el despliegue de malware como PureRAT y, a continuación, se dirigen a los clientes del hotel a través de WhatsApp o correos electrónicos con los detalles de su reserva y confirman su reserva haciendo clic en un enlace.
Curiosamente, uno de los indicadores compartidos por la empresa francesa de ciberseguridad, guestverifiy5313-booking [.] com/67122859, coincide con el patrón de dominio registrado por el actor de la amenaza (por ejemplo, verifyguets71561-booking [.] com), lo que plantea la posibilidad de que estos dos grupos de actividad puedan estar relacionados. The Hacker News se ha puesto en contacto con Netcraft para solicitar comentarios, y actualizaremos la historia si tenemos noticias.
En las últimas semanas, las campañas de suplantación de identidad a gran escala también han suplantado varias marcas como Microsoft, Adobe, WeTransfer, FedEx y DHL para robar credenciales distribuyendo archivos adjuntos HTML por correo electrónico. Los archivos HTML incrustados, una vez lanzados, muestran una página de inicio de sesión falsa, mientras que el código JavaScript captura las credenciales ingresadas por la víctima y las envía directamente a los bots de Telegram controlados por los atacantes, dijo Cyble.
La campaña se ha dirigido principalmente a una amplia gama de organizaciones de Europa Central y Oriental, en particular en la República Checa, Eslovaquia, Hungría y Alemania.
«Los atacantes distribuyen correos electrónicos de suplantación de identidad haciéndose pasar por clientes o socios comerciales legítimos, solicitando cotizaciones o confirmaciones de facturas», señaló la empresa. «Este enfoque regional es evidente en los dominios de destinatarios específicos que pertenecen a empresas locales, distribuidores, entidades vinculadas al gobierno y empresas hoteleras que procesan de forma rutinaria las solicitudes de ofertas y las comunicaciones con los proveedores».
Además, se han utilizado kits de suplantación de identidad en una campaña a gran escala dirigida a los clientes de Aruba S.p.A., uno de los mayores proveedores de servicios de TI y alojamiento web de Italia, en un intento similar de robar datos confidenciales e información de pago.
El kit de suplantación de identidad es una «plataforma de varias etapas totalmente automatizada diseñada para ser eficiente y sigilosa», según los investigadores del Grupo IB Ivan Salipur y Federico Marazzi dijo . «Emplea el filtrado CAPTCHA para evadir los escaneos de seguridad, rellena previamente los datos de las víctimas para aumentar la credibilidad y utiliza bots de Telegram para filtrar las credenciales y la información de pago robadas. Cada función tiene un único objetivo: el robo de credenciales a escala industrial».
Estos hallazgos ejemplifican la creciente demanda de ofertas de suplantación de identidad como servicio (PhaaS) en la economía sumergida, lo que permite a los actores de amenazas con poca o ninguna experiencia técnica llevar a cabo ataques a gran escala.
«La automatización observada en este kit en particular ejemplifica cómo el phishing se ha sistematizado: más rápido de implementar, más difícil de detectar y más fácil de replicar», agregó la empresa singapurense. «Lo que antes se requería experiencia técnica ahora se puede ejecutar a escala mediante marcos automatizados y prediseñados».