Une menace russophone à l’origine d’une campagne de phishing massive en cours a enregistré plus de 4 300 noms de domaine depuis le début de l’année.

D’après Andrew Brandt, chercheur en sécurité chez Netcraft, cette activité vise les clients du secteur de l’hôtellerie, et plus particulièrement les clients d’hôtels ayant effectué des réservations, en leur envoyant des courriels indésirables. La campagne aurait véritablement débuté vers février 2025.

Parmi les 4 344 domaines liés à l’attaque, 685 contiennent le nom « Booking », suivis de 18 avec « Expedia », 13 avec « Agoda » et 12 avec « Airbnb », ce qui indique une tentative de cibler toutes les plateformes de réservation et de location populaires.

« La campagne en cours utilise un système d’hameçonnage sophistiqué qui personnalise la page affichée au visiteur en fonction d’une chaîne de caractères unique présente dans l’URL lors de sa première visite sur le site web », a déclaré Brandt. « Ces personnalisations utilisent les logos de grandes marques du secteur du voyage en ligne, comme Airbnb et Booking.com. »

L’attaque débute par un courriel d’hameçonnage incitant les destinataires à cliquer sur un lien pour confirmer leur réservation dans les 24 heures à l’aide d’une carte bancaire. S’ils cliquent sur le lien, les victimes sont redirigées vers un faux site après une série de redirections. Ces sites frauduleux utilisent des noms de domaine similaires, avec des termes comme « confirmation », « réservation », « enregistrement des invités », « vérification de carte » ou « réservation », afin de paraître légitimes.

Ces pages sont disponibles en 43 langues, permettant ainsi aux cybercriminels de toucher un large public. Elles invitent ensuite la victime à verser un acompte pour sa réservation d’hôtel en saisissant ses informations bancaires. Si un utilisateur tente d’accéder directement à la page sans l’identifiant unique AD_CODE, une page blanche s’affiche. Ces sites frauduleux intègrent également un faux système de vérification CAPTCHA imitant celui de Cloudflare afin de tromper la cible.

« Après la première visite, la valeur AD_CODE est enregistrée dans un cookie, ce qui garantit que les pages suivantes afficheront la même apparence de marque usurpée au visiteur lors de sa navigation sur le site », a déclaré Netcraft. Cela signifie également que modifier la valeur « AD_CODE » dans l’URL redirigera vers une page ciblant un autre hôtel sur la même plateforme de réservation.

Dès que les informations de la carte, ainsi que la date d’expiration et le code CVV, sont saisis, la page tente de traiter une transaction en arrière-plan, tandis qu’une fenêtre de « chat d’assistance » apparaît à l’écran avec des étapes pour effectuer une prétendue « vérification 3D Secure de votre carte de crédit » afin de se prémunir contre les fausses réservations.

L’identité du groupe malveillant à l’origine de cette campagne reste inconnue, mais l’utilisation du russe dans les commentaires du code source et les sorties du débogueur fait soit allusion à leur provenance, soit constitue une tentative de cibler les clients potentiels du kit d’hameçonnage qui pourraient chercher à le personnaliser selon leurs besoins.

Cette révélation intervient quelques jours après que Sekoia a mis en garde contre une campagne d’hameçonnage à grande échelle ciblant le secteur de l’hôtellerie, qui attire les directeurs d’hôtels vers des pages de type ClickFix et récupère leurs identifiants en déployant des logiciels malveillants comme PureRAT, puis contacte les clients de l’hôtel via WhatsApp ou par e-mail avec les détails de leur réservation et confirme leur réservation en cliquant sur un lien.

Il est intéressant de noter que l’un des indicateurs partagés par la société française de cybersécurité – guestverifiy5313-booking[.]com/67122859 – correspond au modèle de domaine enregistré par l’acteur malveillant (par exemple, verifyguets71561-booking[.]com), ce qui laisse supposer que ces deux épisodes d’activité pourraient être liés. Hacker News a contacté Netcraft pour obtenir des commentaires et nous mettrons à jour cet article dès que nous aurons une réponse.

Ces dernières semaines, des campagnes d’hameçonnage de grande ampleur ont usurpé l’identité de plusieurs marques telles que Microsoft, Adobe, WeTransfer, FedEx et DHL afin de dérober des identifiants via des pièces jointes HTML diffusées par courriel. Une fois ouvertes, ces pièces jointes affichent une fausse page de connexion tandis qu’un code JavaScript capture les identifiants saisis par la victime et les envoie directement à des bots Telegram contrôlés par les attaquants, a indiqué Cyble.

La campagne a principalement ciblé un large éventail d’organisations en Europe centrale et orientale, notamment en République tchèque, en Slovaquie, en Hongrie et en Allemagne.

« Les attaquants diffusent des courriels d’hameçonnage se faisant passer pour des clients ou des partenaires commerciaux légitimes, demandant des devis ou des confirmations de factures », a indiqué l’entreprise. « Cette orientation régionale est manifeste dans les domaines des destinataires ciblés, appartenant à des entreprises locales, des distributeurs, des organismes gouvernementaux et des entreprises du secteur de l’hôtellerie qui traitent régulièrement des demandes de devis et communiquent avec les fournisseurs. »

Par ailleurs, des kits de phishing ont été utilisés dans une campagne à grande échelle ciblant les clients d’Aruba SpA, l’un des plus importants fournisseurs de services d’hébergement web et informatiques d’Italie, dans une tentative similaire de voler des données sensibles et des informations de paiement.

Selon Ivan Salipur et Federico Marazzi, chercheurs chez Group-IB, le kit de phishing est une plateforme entièrement automatisée et multi-étapes, conçue pour l’efficacité et la discrétion. « Il utilise le filtrage CAPTCHA pour contourner les analyses de sécurité, pré-remplit les données de la victime pour renforcer sa crédibilité et recourt à des bots Telegram pour exfiltrer les identifiants et informations de paiement volés. Chaque fonction vise un seul objectif : le vol d’identifiants à grande échelle. »

Ces résultats illustrent la demande croissante d’offres de phishing-as-a-service (PhaaS) dans l’économie souterraine, permettant aux acteurs malveillants ayant peu ou pas d’expertise technique de mener des attaques à grande échelle.

« L’automatisation observée dans ce kit illustre la systématisation du phishing : plus rapide à déployer, plus difficile à détecter et plus facile à reproduire », a ajouté l’entreprise singapourienne. « Ce qui nécessitait autrefois une expertise technique peut désormais être exécuté à grande échelle grâce à des frameworks automatisés préconfigurés. »