Uma nova campanha de phishing está causando estragos na vida de quem usa o Booking.com para organizar viagens. Especialistas em cibersegurança descobriram que sistemas de vários hotéis parceiros estão sendo comprometidos por criminosos.
De acordo com o relatório da Sekoia.io, a campanha está na ativa pelo menos desde abril deste ano, fazendo vítimas com o envio de e-mails que trazem links maliciosos.
A tática usada pelos cibercriminosos é algo frequente em ataques de phishing, já que os hackers costumam usar contas legítimas de hotéis e do próprio Booking para roubar dados sensíveis dos clientes.
Como o ataque ocorre
Tudo começa quando a pessoa recebe um e-mail do Booking.com ou do hotel parceiro no qual fez uma reserva. À primeira vista, tudo parece verídico, já que a mensagem traz informações reais da reserva feita pelo cliente.
Contudo, o e-mail conta com um link malicioso que exige uma suposta verificação bancária, levando as vítimas para uma página falsa que imita a interface do Booking. Após uma série de redirecionamentos, a vítima é induzida a executar um comando do PowerShell que automaticamente faz a instalação do trojan PureRAT.
O malware permite que os cibercriminosos controlem o dispositivo de maneira remota, iniciando um processo de roubo das credenciais sigilosas das vítimas a partir da captura de telas e a ajuda de plugins.
Rede criminosa
Durante as investigações, os pesquisadores da Sekoia.io também suspeitaram de que os hackers tinham como alvos iniciais os funcionários dos hotéis parceiros do Booking. Assim, eles conseguiam obter acesso às credenciais de login dos clientes, expandindo as ações criminosas para outros serviços de reserva como Airbnb e Expedia.
Logo depois de conseguirem os dados dos clientes, os hackers partiam para os ataques de phishing, entrando em contato com os hóspedes para roubá-los. Relatos das vítimas afirmam que houve casos de pagamentos duplos: além de realizar o pagamento oficial da reserva, o crime obrigava o cliente a pagar um novo valor para o bandido.
Para piorar ainda mais a situação, os especialistas identificaram que, para além das fraudes, as credenciais das vítimas também eram vendidas em fóruns de crimes digitais, circulando entre cibercriminosos a partir de lotes de dados pessoais que podiam ser comprados por qualquer pessoa.
Por: Canal Tech
