Um grupo de ameaça de língua russa está por trás de uma campanha massiva de phishing em andamento, que já registrou mais de 4.300 domínios desde o início do ano.
Segundo o pesquisador de segurança da Netcraft, Andrew Brandt, a ação mira principalmente clientes do setor hoteleiro, especialmente hóspedes que recebem e-mails de spam relacionados a reservas de viagem.
A campanha teria começado de forma intensa por volta de fevereiro de 2025.
Dos 4.344 domínios ligados ao ataque, 685 contêm o nome “Booking”, seguidos por 18 com “Expedia”, 13 com “Agoda” e 12 com “Airbnb”, evidenciando a tentativa de atingir as principais plataformas de reservas e aluguel.
“A campanha utiliza um kit de phishing sofisticado que personaliza a página exibida ao visitante conforme uma string única no caminho da URL na primeira visita”, explica Brandt.
“As personalizações incluem logos de grandes marcas do setor de viagens online, como Airbnb e Booking.com.”
O ataque começa com um e-mail de phishing solicitando ao destinatário que confirme sua reserva em até 24 horas, usando um cartão de crédito.
Caso a vítima clique no link, ela é redirecionada para um site falso após uma série de redirects.
Esses domínios falsos seguem padrões de nomes que incluem palavras como confirmation, booking, guestcheck, cardverify ou reservation, conferindo-lhes aparência de legitimidade.
As páginas suportam 43 idiomas diferentes, permitindo que os criminosos ampliem o alcance.
Nelas, a vítima é instruída a pagar um depósito pela reserva do hotel, inserindo os dados do cartão.
Se alguém tentar acessar a página sem um identificador único chamado AD_CODE, verá apenas uma página em branco.
Os sites falsos exibem ainda um CAPTCHA fraudulento que imita o Cloudflare, para enganar o usuário.
“Após a primeira visita, o valor do AD_CODE é salvo em um cookie, garantindo que as páginas seguintes mantenham a mesma identidade visual das marcas falsas durante a navegação”, afirma a Netcraft.
Isso também permite que mudar o valor de AD_CODE na URL carregue páginas falsas de hotéis diferentes dentro da mesma plataforma.
Quando os dados do cartão — número, validade e CVV — são inseridos, a página tenta processar a transação em segundo plano, enquanto uma janela de “suporte via chat” aparece na tela, orientando o usuário a completar uma suposta “verificação 3D Secure do cartão”, alegadamente para proteger contra reservas falsas.
A identidade do grupo por trás da campanha ainda é desconhecida.
Há indícios que apontam para a Rússia, como comentários no código-fonte e mensagens de depuração em russo, embora essa possa ser uma estratégia para atrair clientes interessados em personalizar o kit de phishing conforme suas necessidades.
Essa revelação surge dias após o alerta da empresa Sekoia sobre outra campanha de phishing em larga escala no setor hoteleiro.
Nela, gestores de hotéis são levados a páginas falsas estilo ClickFix, onde suas credenciais são roubadas por malware como o PureRAT.
Em seguida, esses dados são usados para enviar mensagens via WhatsApp ou e-mail aos clientes com detalhes da reserva e links maliciosos.
Curiosamente, um dos domínios compartilhados pela empresa francesa — guestverify5313-booking[.]com — segue o mesmo padrão dos domínios registrados pelo grupo russo (por exemplo, verifyguets71561-booking[.]com), sugerindo possível ligação entre as duas operações.
O The Hacker News entrou em contato com a Netcraft para obter comentários e atualizará a matéria caso haja resposta.
Nas últimas semanas, outras campanhas de phishing em grande escala também têm se passado por marcas como Microsoft, Adobe, WeTransfer, FedEx e DHL.
Utilizando anexos HTML enviados por e-mail, esses ataques exibem páginas falsas de login e capturam as credenciais por meio de JavaScript, enviando-as diretamente para bots no Telegram controlados pelos criminosos, segundo a Cyble.
Essas campanhas focam especialmente em organizações da Europa Central e Oriental, com maior incidência na República Tcheca, Eslováquia, Hungria e Alemanha.
“Os atacantes enviam e-mails de phishing se passando por clientes ou parceiros comerciais legítimos, solicitando cotações ou confirmações de fatura”, explica a empresa.
“O foco regional fica evidente pela escolha de domínios-alvo ligados a empresas locais, distribuidores, entidades governamentais e organizações do setor de hospitalidade que normalmente processam esse tipo de comunicação.”
Além disso, kits de phishing têm sido usados para atingir clientes da Aruba S.p.A, uma das maiores provedoras de hospedagem web e serviços de TI da Itália, numa tentativa semelhante de roubo de dados sensíveis e informações de pagamento.
Segundo os pesquisadores da Group-IB, Ivan Salipur e Federico Marazzi, o kit “é uma plataforma totalmente automatizada e multiestágios, focada em eficiência e furtividade.” Ele inclui filtros CAPTCHA para evitar detecção, pré-preenchimento dos dados da vítima para aumentar a credibilidade e uso de bots do Telegram para exfiltrar as informações roubadas.
“Cada função serve a um propósito: o roubo industrializado de credenciais.”
Esses achados demonstram como a demanda por phishing-as-a-service (PhaaS) cresce no mercado negro, permitindo que criminosos com pouca ou nenhuma experiência técnica realizem ataques em larga escala.
“A automação observada nesse kit é um exemplo de como o phishing se tornou um processo sistematizado — mais rápido para implantar, mais difícil de detectar e mais fácil de replicar”, conclui a empresa de Singapura.
“O que antes exigia conhecimento técnico agora pode ser executado em escala por meio de frameworks automatizados e pré-construídos.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...