活动概述

安全研究人员曝光了一起针对酒店行业的大规模钓鱼活动，攻击者通过仿冒主要预订平台（Booking.com、Expedia）的ClickFix式页面，诱骗酒店员工和客人，并部署PureRAT（zgRAT）等恶意软件窃取凭证和实施欺诈。根据Sekoia的分析，该攻击活动至少从2025年4月开始活跃，并持续到2025年10月。攻击者的目标是获取预订平台管理员凭证和支付/卡片信息，用于转售或直接欺诈。

攻击链（高级）

该活动遵循一致的社交工程+恶意软件流程：

• 初始入侵/欺骗：攻击者使用被入侵的电子邮件账户向酒店管理员发送鱼叉式网络钓鱼消息，或劫持合法的预订相关电子邮件线程。
• 重定向至ClickFix页面：目标通过URL链被引导至伪造的“ClickFix”验证页面，该页面看起来像是Booking.com/Expedia的reCAPTCHA或安全检查。
• 剪贴板劫持和运行社交工程：伪造页面通常适应受害者的操作系统，自动将PowerShell命令复制到剪贴板，并指示用户粘贴/运行它（剪贴板劫持+特定于操作系统的提示）。
• 有效负载下载和持久化：该命令下载包含通过DLL侧加载二进制文件的ZIP文件；DLL通过DLL侧加载加载PureRAT/zgRAT并设置持久性（Run键）。
• 后利用：操作者窃取凭证（外联网账户、cookies），部署信息窃取程序，设置远程访问，并使用被盗凭证访问预订平台或向客人发送欺诈性预订/验证消息。

PureRAT（zgRAT）及相关恶意软件——观察到的功能

分析人员指出，该恶意软件家族及相关工具集提供了强大的间谍和接管能力：

• RAT功能：远程shell、文件上传/下载、屏幕捕获、网络摄像头/麦克风控制、键盘记录、进程枚举和命令执行。
• 规避/保护：观察到的样本使用.NET Reactor进行保护，以阻碍逆向工程。
• 持久性：创建Run注册表键和DLL侧加载以维持存在。
• 凭证窃取和横向移动：操作者部署浏览器窃取工具和记录器，以提取Booking.com、Expedia、Airbnb及类似服务的会话cookies、密码和管理员凭证。
• 客人为目标：攻击者还通过网络钓鱼，通过WhatsApp/电子邮件发送的虚假预订验证页面收集客人支付详情。

研究人员还报告了相关集群中信息窃取程序和类似RMM工具的使用（NetSupport、DanaBot变种、Lumma Stealer、StealC），表明目标多样：账户转售和直接欺诈。

犯罪即服务及攻击背后的非法经济

Sekoia和其他分析人员强调攻击链如何得到生态系统支持：

• 账户转售和日志检查服务：Telegram机器人和地下卖家提供Booking/Expedia日志和“已检查”账户出售；服务通过代理验证收集的凭证。
• 角色专业化：操作者将分发外包给“traffers”（恶意软件分发者），并从声称进行手动验证的市场操作者处购买预订日志。
• 专业化：交钥匙服务（日志数据库、检查器、恶意软件构建器）降低了门槛，并将这些欺诈操作扩展到各个地区。

这种商业化模式加速了针对酒店业活动的传播和复杂化。

业务和客人影响

对酒店组织的影响包括：

• 未经授权的预订更改和负载转移导致财务损失。
• 来自虚假预订验证页面的客人欺诈/卡片盗窃。
• 声誉损害和客户信任丧失。
• 有效外联网访问的转售或滥用向客人发送后续网络钓鱼。
• 如果支付数据或个人身份信息暴露，面临监管风险。

受害者报告表明，攻击者已成功删除预订电子邮件、阻止通知，并在恢复通话中冒充承运人——展示了其对预订工作流程的操作知识。

防御建议

为降低风险并检测这些活动，组织应优先考虑：

• 电子邮件和链接保护：阻止或沙箱化指向未知着陆页的链接；阻止.exe/.msi附件，并标记自动复制剪贴板内容的页面。
• 阻止从剪贴板执行：教育员工不要粘贴/运行从网站复制的命令；对非管理员用户禁用不必要的脚本执行策略。
• 限制RMM/远程工具：仅允许预先批准的远程支持工具，并使用应用程序允许列表和EDR阻止未经授权的安装程序。
• 强化预订外联网账户：强制执行强且唯一的密码，在Booking/Expedia外联网账户上强制执行MFA，并监控异常登录（地理异常、快速会话使用）。
• 凭证监控和轮换：将暴露的账户视为高风险；及时轮换凭证，并在怀疑泄露时审计会话。
• 端点检测：调整EDR以标记DLL侧加载、Run键持久性更改以及由explorer/PowerShell生成的新进程。
• 客人保护：避免要求客户通过电子邮件链接输入卡片详情；使用安全支付流程和危机响应模板进行通信。
• 威胁情报和共享：与行业同行和ISAC共享IOC源；监控地下市场中与您物业相关的泄露外联网账户。