Una nuova e sofisticata campagna di phishing sta colpendo il settore alberghiero su larga scala, sfruttando tecniche di social engineering come il metodo ClickFix e distribuendo il malware PureRAT. Gli attaccanti utilizzano account email compromessi per inviare messaggi dannosi a molti hotel, impersonando noti servizi di prenotazione come Booking.com ed Expedia. L’obiettivo principale è rubare le credenziali di accesso ai sistemi di prenotazione, che vengono poi vendute nei forum di cybercrime o utilizzate per compiere ulteriori frodi ai danni dei clienti degli hotel.
La tecnica della campagna
La campagna, attiva almeno da aprile 2025, utilizza email di spear phishing che reindirizzano le vittime verso siti web fasulli, mascherati da autentiche pagine di servizi di prenotazione. Qui viene presentata una verifica tramite reCAPTCHA, ma in realtà viene eseguito uno script dannoso. Questo induce la vittima a eseguire un comando PowerShell che scarica ed esegue un archivio ZIP contenente un file binario. Questo file stabilisce la persistenza nel sistema tramite DLL side-loading e attiva PureRAT, un malware modulare capace di controllo remoto, keylogging, acquisizione di immagini da webcam e microfono, esfiltrazione dei dati e molto altro.
Vittime e modalità di attacco
Gli attacchi non si limitano agli amministratori degli hotel, ma coinvolgono anche i clienti. Questi ultimi ricevono messaggi via WhatsApp o email con dettagli verosimili della prenotazione e vengono invitati a cliccare su un link per confermare i dati della propria carta bancaria, con la minaccia che la prenotazione venga annullata. Il sito su cui atterrano è una copia fedele di Booking.com o Expedia, ma serve solo a rubare le informazioni sensibili.
Forum, traffers e compravendita di dati
I criminali ottengono informazioni sugli amministratori degli hotel da forum come LolzTeam e, a volte, offrono compensi a chi li aiuta. Il malware viene spesso distribuito tramite traffers, specialisti che si occupano della diffusione. I dati rubati vengono venduti sotto forma di cookie di autenticazione o coppie login/password, spesso estratti dai log di infostealer. Esistono persino bot su Telegram e servizi come "moderator_booking" che acquistano e verificano questi log per assicurarsi che le credenziali siano ancora valide.
Evoluzione delle tecniche ClickFix
Le pagine ClickFix stanno diventando sempre più sofisticate, adattandosi al sistema operativo della vittima e automatizzando la copia del codice malevolo nella clipboard. Questa evoluzione rende le campagne di phishing sempre più efficaci e pericolose per il settore alberghiero e i suoi clienti.