Booking.com Hotels Hacked in ‘I Paid Twice’ Scam

复杂的网络钓鱼活动入侵了酒店Booking.com账户，使犯罪分子能够通过欺诈性付款请求诈骗客人。

“二次付款”活动代表了网络犯罪操作的范式转变，从广泛的网络钓鱼转向针对酒店业数字信任链的有针对性、多方面的攻击。本报告提供了攻击生命周期的取证级分析，从最初的社交工程到最终变现。

通过ClickFix社交工程技术、PureRAT恶意软件即服务平台和专业犯罪地下经济的复杂相互作用，本威胁情报揭示了使此活动既高效又具有弹性的技术细节。

攻击生态系统

该活动不是单一攻击，而是一个具有不同专业角色的犯罪企业。它系统地针对酒店入侵其Booking.com账户，随后利用该访问权限欺诈客户。技术执行显示出高度的专业性，以新颖组合利用已知技术。

• 主要向量：针对酒店员工的鱼叉式网络钓鱼
• 关键恶意软件：PureRAT，基于.NET的远程访问木马
• 变现方法：针对酒店客人的商业电子邮件泄露式欺诈
• 生态系统支持：凭证、恶意软件分发和验证工具的地下市场

攻击链分析

攻击可分为四个不同的相互关联阶段，形成完整的网络杀伤链。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21

flowchart TD
    subgraph A [阶段1：初始入侵]
        direction LR
        A1[鱼叉式钓鱼邮件] --> A2[重定向链TDS] --> A3[ClickFix诱饵]
    end

    subgraph B [阶段2：恶意软件部署]
        direction LR
        B1[PowerShell执行] --> B2[侦察] --> B3[持久化&DLL旁加载]
    end

    subgraph C [阶段3：持久化&C2]
        C1[PureRAT MaaS] --> C2[C2通信]
    end

    subgraph D [阶段4：变现]
        direction LR
        D1[凭证窃取] --> D2[客人欺诈]
    end

    A --> B --> C --> D

初始入侵与ClickFix诱饵

此阶段完全依赖复杂的社交工程来诱导用户发起的代码执行。

武器化通信

• 来源：电子邮件来自先前被入侵的其他酒店的合法电子邮件账户，绕过基于信誉的过滤器
• 诱饵内容：冒充Booking.com，主题如“关于预订的新客人消息 - 跟踪代码：[唯一ID]”。这创造了紧迫感和合法性

流量分发系统

• 电子邮件中的链接不直接指向有效载荷。它指向一个重定向链。分析显示初始域使用JavaScript检查window.self !== window.top条件，如果在iframe中加载则强制导航。这种反分析技术有助于逃避沙盒环境
• 此TDS基础设施（可能是付费服务）掩盖了最终有效载荷URL，并提供了对拆除的弹性

ClickFix技术（核心创新）

• 最终登陆页面是高度逼真的Booking.com登录门户克隆，包含品牌标识
• 呈现虚假CAPTCHA。关键元素是一个JavaScript函数，在页面加载时自动将恶意PowerShell命令复制到受害者的剪贴板
• 然后指示用户（通过屏幕文本）按Win + R，粘贴命令，然后按Enter。此技术非常有效，因为它：
  • 绕过电子邮件过滤器：不发送恶意附件
  • 利用用户信任：请求看起来是合法的故障排除步骤
  • 实现代码执行：直接利用用户的权限运行系统命令

恶意软件部署与持久化

粘贴命令的执行启动自动化的无文件部署序列。

脚本化有效载荷检索

• 初始PowerShell命令是一个下载支架，从攻击者的服务器获取第二个更复杂的PowerShell脚本
• 此辅助脚本执行侦察，收集系统数据（主机名、用户名、操作系统、AV产品）并将其外泄到C2服务器

有效载荷交付和组成

• 然后脚本下载包含以下内容的ZIP存档：
  • 一个合法的签名可执行文件（如libcef.dll或AudioSession.exe）
  • 三个恶意DLL
• 文件被提取到用户可写目录，通常是%AppData%\Local

持久化和执行机制

• 持久化：通过Run注册表项和启动文件夹中的快捷方式建立
• DLL旁加载：合法可执行文件容易受到DLL劫持。执行时，它尝试从其本地目录加载所需的DLL。相反，它加载攻击者放置在那里的恶意DLL
• 无文件加载：恶意DLL充当加载器，然后反射性地将PureRAT有效载荷直接加载到内存中。这避免了将主要恶意软件二进制文件写入磁盘，逃避基于签名的检测

使用PureRAT的命令与控制

PureRAT是一个功能齐全的MaaS平台，为攻击者提供深入持久的访问。

核心能力

RAT提供全面的间谍和控制功能套件，包括：

• 远程桌面控制（类似VNC）
• 键盘记录和文件系统管理
• 网络摄像头和麦克风捕获
• 流量代理（使攻击者能够使用受害者的网络）
• 数据外泄

模块化架构

• PureRAT使用插件系统。核心代理可以由C2服务器指示下载和执行附加模块，如：
  • PluginRemoteDesktop
  • PluginExecuting
  • PluginFileManager
• 这种模块化使恶意软件具有高度适应性

通信和混淆

• C2协议：与C2服务器（如45[.]142[.]166[.]73:56001）的通信通过加密TLS套接字进行，与正常网络流量混合
• 指纹识别：连接后，RAT将详细的系统指纹传输到C2
• 混淆：PureRAT有效载荷受.NET Reactor保护，这是一种商业混淆器，使静态分析和逆向工程复杂化

“二次付款”欺诈

获得持久访问后，攻击者转向其主要财务目标。

凭证收集

使用键盘记录器、内存转储程序或简单地浏览被盗文件，攻击者收集酒店Booking.com外联网门户的凭证。

欺诈行为

• 攻击者使用被盗cookie或凭证访问门户，查看真实的即将到来的预订
• 他们冒充酒店，通过WhatsApp或电子邮件联系客人，通常在入住前
• 消息声称“银行问题”或“安全问题”，并敦促客人通过将资金汇到新的攻击者控制的银行账户来确认付款
• 使用合法的客人和预订详细信息使骗局非常令人信服，导致受害者支付两次

底层犯罪基础设施

该活动的效率源于专业化的网络犯罪生态系统。

• 凭证市场：被盗Booking.com凭证在LolzTeam等地下论坛上出售。列表详细，包括查看次数、最后登录和价格（通常$50-$500）
• 验证工具：“日志检查器”作为服务出售（如约$40），通过代理自动验证被盗凭证的有效性，确保在购买前有价值
• 恶意软件分发：初始感染可能由称为“traffers”的专业参与者执行，他们因成功安装而获得报酬

多层防御策略

防御需要关注攻击每个阶段使用的特定技术。

表1：MITRE ATT&CK映射和缓解措施

主动狩猎提示

• 狩猎ClickFix：在命令行日志中搜索带有-win normal -enc（base64编码命令）等参数的PowerShell命令
• 狩猎PureRAT：查找端口56001-56003上的网络连接和名为AudioSession.exe的进程进行可疑网络调用
• 监控持久化：审计Run键和启动文件夹内容中的意外条目

“二次付款”活动是一个有力的提醒，现代网络威胁是复杂的、服务驱动的业务。其技术复杂性不在于零日漏洞利用，而在于社交工程（“ClickFix”）、强大恶意软件（PureRAT）和专业犯罪经济的巧妙组合。防御具有挑战性但可通过分层安全态势实现，强调用户意识、严格的应用程序控制、强大的端点检测和响应以及MFA等安全策略的执行。关于此类参与者不断发展的TTP的持续威胁情报对于目标行业内的组织保护其资产和（至关重要的）客户信任至关重要。