网络钓鱼攻击冒用旅游品牌使用4300个恶意域名

一名俄语威胁组织自2025年初策划了一场广泛的网络钓鱼活动，注册了超过4300个针对旅行者的恶意域名。该复杂操作定制了钓鱼页面，冒充包括Airbnb、Booking.com、Expedia和Agoda在内的合法旅游行业巨头，诱骗不知情用户在酒店预订确认的幌子下交出支付卡信息。

攻击通过针对性垃圾邮件进行，声称要确认酒店预订，提示收件人点击看似指向预订网站的链接。然而，这些链接通过多个中间站点重定向用户，有时经由废弃域名或免费博客平台，最终到达钓鱼页面。这种混淆技术旨在逃避安全过滤器并复杂化归因。

钓鱼页面共享共同样式，但通过模仿各种合法知名旅游品牌的不同品牌进行定制。钓鱼工具包展示了显著的技术复杂性，它使用嵌入URL中的唯一标识符系统"AD_CODE"，根据访问者偏好定制页面品牌。同一钓鱼域名可根据URL中出现的AD_CODE值冒充多个合法旅游品牌。没有有效AD_CODE访问网站的用户会遇到空白页面或错误消息，阻止安全研究人员和未经授权用户轻易发现骗局。

全球覆盖和语言支持

该活动展示了全面的国际目标定位，钓鱼页面被翻译成43种不同语言。这种多语言方法使威胁行为者能够撒下大网，针对全球旅行者。Cookie数据存储"AD_CODE"值和指示被冒充品牌的"D_TYPE"值。页面包括伪造的"在线帮助聊天"窗口和虚假CAPTCHA，模仿Cloudflare品牌设计元素，专门选择以增加合法性并操纵目标完成欺诈交易。

分析显示恶意域名间一致的命名约定，包含旅行相关关键词如"verification"、“confirmation”、“booking”、“cardverify"和"guestverify”。在4344个已识别域名中，685个包含"Booking"，18个引用"Expedia"，13个提及"Agoda"，12个调用"Airbnb"。该活动背后的威胁行为者通常每周注册10到65个域名。值得注意的是，威胁行为者已注册冒充全球精品酒店的特定域名，包括尼泊尔、德国、希腊、西班牙和巴西的物业。注册速度惊人，通常每周10到65个域名，2025年3月20日出现异常高峰，攻击者单日注册至少511个域名。威胁行为者主要使用四个注册商：WebNIC、Public Domain Registry、Atak Domain Bilgi Teknolojileri A.S.和MAT BAO Corporation，以及专用TLD包括.world、.sale和.help。

技术实现和数据收集

一旦进入钓鱼页面，访问者会遇到要求支付卡详细信息的表单，包括持卡人姓名、卡号、CVV和到期日。钓鱼页面的一个早期版本显示名称"Hotel Palazzo Argenta"覆盖在图像上，读取"验证进行中"，显示错误的宽高比，以及"入住"和"退房"日期。页面执行Luhn验证以在尝试后台交易前验证卡格式。同时，伪造的支持聊天窗口显示鼓励受害者提供支付信息作为"额外措施"防止虚假预订的指令。

这种语言指纹，结合技术复杂性和操作规模，强烈表明俄语网络犯罪分子策划此活动，可能在犯罪论坛内向其他威胁行为者营销可定制钓鱼工具包。URL中不同的AD_CODE值在同一网站上产生针对不同酒店的页面。在测试时仍可操作的钓鱼域名集群中，在不同站点上使用相同AD_CODE编号导致所有站点出现相同的品牌冒充。

幕后，钓鱼基础设施持续轮询Web服务器，传输用户击键、提交的卡数据和聊天交互的实时更新，展示了设计用于最大信息提取的数据收集机制。俄语注释和调试输出渗透钓鱼工具包的源代码，HTML广泛用俄语注释。此活动对全球旅行者构成巨大威胁，结合技术复杂性和心理操纵以大规模危害财务信息。