Russisktalende trusselsaktør bag over 4.300 falske rejsesider
Phishingkampagne retter sig mod hotelgæster globalt
En omfattende og vedvarende phishingkampagne har siden februar 2025 registreret over 4.300 domæner med det formål at stjæle betalingsoplysninger fra hotelgæster. Bag kampagnen står en russisktalende trusselsaktør, som udnytter kendte brands inden for rejse- og hotelbranchen til at narre intetanende brugere.
Det skriver The Hacker News.
Ifølge Netcrafts Andrew Brandt er kampagnen særligt rettet mod gæster med eksisterende eller planlagte reservationer. Angrebet starter typisk med en e-mail, der opfordrer modtageren til at bekræfte sin booking inden for 24 timer – en handling, der kræver indtastning af kreditkortoplysninger.
Domæner med velkendte navne og troværdigt design
Af de 4.344 domæner, der er knyttet til kampagnen, indeholder 685 navnet "Booking", mens mindre grupper anvender navne som "Expedia", "Agoda" og "Airbnb". Domænerne er designet til at ligne legitime sider og benytter navne som confirmation, guestcheck, cardverify og reservation for at fremstå troværdige.
Phishingkit’et bag kampagnen er avanceret og tilpasser automatisk den viste side baseret på en unik identifikator i URL’en – kaldet AD_CODE. Denne kode gemmes i en cookie, hvilket sikrer, at brugeren præsenteres for den samme falske branding ved efterfølgende klik. Hvis siden tilgås uden en AD_CODE, vises blot en blank side.
Multisproget og automatiseret angrebsplatform
Siderne understøtter 43 forskellige sprog, hvilket gør det muligt for trusselsaktøren at ramme ofre globalt. Efter indtastning af kortoplysninger forsøger siden at gennemføre en baggrundstransaktion, mens en falsk supportchat dukker op med instruktioner om en "3D Secure-verifikation".
Netcraft har bekræftet, at kampagnen har betydelig overlap med en anden phishingbølge, som den franske cybersikkerhedsvirksomhed Sekoia har dokumenteret. Her blev hotelledere narret til at installere malware som PureRAT, hvorefter gæster blev kontaktet via WhatsApp eller e-mail med falske reservationsoplysninger.
Phishing-as-a-Service: Professionalisering af cyberkriminalitet
Kampagnen er et eksempel på den stigende udbredelse af phishing-as-a-service (PhaaS), hvor færdige kits gør det muligt for aktører uden teknisk ekspertise at udføre angreb i stor skala. Ifølge Group-IB benytter disse kits CAPTCHA-filtrering, automatisk udfyldning af offerdata og Telegram-bots til at eksfiltrere stjålne oplysninger.
Den automatisering og modularitet, der kendetegner disse kits, gør dem hurtige at implementere, svære at opdage og nemme at tilpasse. Det er en udvikling, der understreger, hvordan phishing er gået fra at være en teknisk disciplin til en industrialiseret trussel.