Mimecast Logo
Obtenga un presupuesto

    Suplantación de Booking.com

    24 de febrero de 2025

    Puntos clave

    Qué aprenderá en esta notificación

    • Dirigido principalmente al sector de la hostelería en el Reino Unido
    • La operación emplea la técnica «Clickfix» para mejorar su eficacia
    • El malware asociado a estas campañas ha sido identificado como LummaC, un popular ladrón de información

    Los investigadores de amenazas de Mimecast han observado una campaña de malware que utiliza Sendinblue (ahora Brevo) para su distribución. Brevo es una plataforma de marketing todo en uno que ofrece herramientas de correo electrónico, SMS, automatización y CRM para la captación de clientes. Las campañas se centran en el uso de señuelos relacionados con problemas de reserva para engañar a los usuarios y que hagan clic en enlaces que parecen provenir de booking.com. Sin embargo, estos enlaces utilizan el servicio de redireccionamiento Sendinblue/Brevo para rastrear los clics y redirigir a sitios maliciosos propiedad de la operación de amenaza. Dado que la mayoría de los usuarios acceden a sitios web personales en dispositivos corporativos, es importante destacar cómo se utilizan los servicios personales para atacar los dispositivos corporativos.



    TI-notification-booking.com-01.webp TI-notification-booking.com-02.webp


    Una vez redirigido, el usuario ve la página CAPTCHA a continuación, que contiene instrucciones para copiar y pegar comandos en el portapapeles como parte de un paso de verificación que se utilizará en el símbolo del sistema.



    TI-notification-booking.com-03.webp


    Una vez que el usuario ejecuta el comando, se descarga un ladrón de información, en este caso LummaC fue el malware identificado, que suele tener como objetivo las credenciales, los datos del navegador y las carteras de criptomonedas.

    Esta campaña, que utiliza Brevo como método de distribución y redireccionamiento, se observó por primera vez a principios de enero con volúmenes bajos y se intensificó significativamente a mediados y finales de enero. Como los objetivos eran hoteles, cadenas hoteleras, complejos turísticos, etc., esto coincide con las personas que reservan sus vacaciones para el próximo año con antelación para estar preparadas.



    TI-notification-booking.com-04.webp

    Protección de Mimecast

    Hemos identificado varios atributos en las campañas que se han añadido a nuestras capacidades de detección.



    Destinatarios: 

    Reino Unido, sector de hostelería



    IOC:

    URL
    admin-booking-service[.]com
    adminbokingcapha64578[.]com
    booking[.]parner-id-010101743[.]com
    commentsvisitor58100[.]world
    commentsvisitor589360[.]world
    concernguest68549[.]com
    concernguest74549[.]com
    feedbackguest485100[.]world
    feedbackguest485121[.]world
    feedbackguest48594821[.]world
    feedbackguest84560[.]world
    feedbackpage91293[.]world
    issueguest423239[.]world
    issueguest495139[.]world
    parner-id-010101743[.]com
    parner-id1501202500[.]com
    reportguest4893921[.]world
    reportguest4895921[.]world
    roomsattendes999923[.]world
    roomsvisitor9934224[.]world



    Tácticas, técnicas y procedimientos

    T1566.002: Phishing: Enlace de spear phishing
    T1585.002: Establecer cuentas: Cuentas de correo electrónico
    T1204.002: Ejecución de usuario: Archivo malicioso
    T1059.003: Intérprete de comandos y scripts: Shell de comandos de Windows
    T1547.001: Ejecución de inicio automático de arranque o inicio de sesión: Claves de ejecución del registro/carpeta de inicio
    T1027: Archivos o información ofuscados
    T1202: Ejecución indirecta de comandos
    T1555: Credenciales de almacenes de contraseñas
    T1083: Detección de archivos y directorios
    T1518.001: Detección de software: Detección de software de seguridad
    T1113: Captura de pantalla



    Recomendaciones

     

    Back to Top