С апреля 2025 года и по состоянию на начало октября 2025 года продолжается крупномасштабная фишинговая кампания, нацеленная на гостиничную индустрию. Французская компания по кибербезопасности Sekoia проанализировала последнюю волну атак, использующих вредоносное ПО PureRAT (также известное как zgRAT). Аналогичные атаки были задокументированы Microsoft еще в марте 2025 года. Злоумышленники применяют изощренную тактику социальной инженерии под названием ClickFix, чтобы обманом заставить персонал отелей скомпрометировать свои рабочие системы.
Цепочка атаки начинается с целевого фишингового письма, отправленного с уже скомпрометированного почтового ящика. Сообщение имитирует официальное уведомление от крупных платформ бронирования, в частности , и убеждает сотрудника отеля перейти по вредоносной ссылке.
Переход по ссылке инициирует серию перенаправлений, которая приводит жертву на страницу ClickFix. На этой странице отображается поддельная проверка reCAPTCHA с сообщением вроде «обеспечьте безопасность вашего соединения». Техническая цель этого шага — заставить браузер пользователя перезагрузить тот же URL-адрес по незащищенному протоколу HTTP.
Далее страница ClickFix инструктирует жертву скопировать и вставить вредоносную команду в PowerShell. Этот скрипт сначала собирает информацию о системе, а затем загружает ZIP-архив. Внутри архива находится двоичный файл, который при запуске развертывает основную вредоносную нагрузку. Для обеспечения постоянного присутствия в системе вредоносное ПО создает запись в ключе реестра Run и загружает PureRAT с использованием техники DLL side-loading.
PureRAT представляет собой модульный троян удаленного доступа (RAT), защищенный Reactor для усложнения анализа. Его функционал включает полный удаленный контроль над компьютером (клавиатура и мышь), наблюдение через веб-камеру и микрофон, кражу учетных данных с помощью кейлоггера, управление файлами, перенаправление сетевого трафика и удаленное выполнение команд или бинарных файлов.
Атака на отели является лишь первым этапом многоуровневой схемы мошенничества. Основная цель злоумышленников — кража учетных данных от платформ онлайн-бронирования, таких как и Expedia, для получения доступа к их внутренним системам управления.
Получив несанкционированный доступ, преступники связываются с клиентами отеля через WhatsApp или электронную почту. Используя подлинные детали бронирования, они выглядят убедительно и просят клиентов перейти по ссылке, чтобы «подтвердить» данные банковской карты и избежать отмены резервации. Эта ссылка ведет на фишинговую страницу, имитирующую или Expedia и предназначенную для кражи полной информации о кредитной карте жертвы.
Данная кампания поддерживается профессионализированной киберпреступной экосистемой. На криминальных форумах, таких как LolzTeam, злоумышленники приобретают информацию об администраторах заведений на . Распространение вредоносного ПО часто передается на аутсорсинг специалистам, известным как «трафферы».
Компрометация аккаунтов во внутренних системах управления , Expedia, Airbnb и Agoda стала прибыльным бизнесом. Доступ к ним продается в виде аутентификационных cookie-файлов или пар логин/пароль. Пользователь с ником «moderator_booking» рекламировал на форумах услугу по покупке логов, утверждая, что они проверяются вручную в течение 24-48 часов. Также для покупки логов с был замечен специальный бот в Telegram.
Для проверки валидности украденных учетных данных через прокси-серверы на киберпреступных форумах продаются специализированные инструменты-чекеры. Стоимость таких программ начинается всего от 40 долларов. Подобная модель «как услуга» значительно снижает порог входа для новых преступников и профессионализирует мошенническую деятельность.
Согласно отчету компании Push Security, тактика ClickFix постоянно совершенствуется. Для повышения убедительности злоумышленники встраивают в фишинговые страницы видео с инструкциями, таймеры обратного отсчета для создания срочности и счетчики «пользователей, проверенных за последний час» для создания эффекта социального доказательства. Страницы стали технически более сложными: они определяют операционную систему жертвы и показывают адаптированные инструкции для диалогового окна «Выполнить» в Windows или для приложения «Терминал» в macOS. Все чаще используется функция автоматического копирования вредоносного кода в буфер обмена пользователя, что упрощает процесс для жертвы.
Изображение носит иллюстративный характер
Цепочка атаки начинается с целевого фишингового письма, отправленного с уже скомпрометированного почтового ящика. Сообщение имитирует официальное уведомление от крупных платформ бронирования, в частности , и убеждает сотрудника отеля перейти по вредоносной ссылке.
Переход по ссылке инициирует серию перенаправлений, которая приводит жертву на страницу ClickFix. На этой странице отображается поддельная проверка reCAPTCHA с сообщением вроде «обеспечьте безопасность вашего соединения». Техническая цель этого шага — заставить браузер пользователя перезагрузить тот же URL-адрес по незащищенному протоколу HTTP.
Далее страница ClickFix инструктирует жертву скопировать и вставить вредоносную команду в PowerShell. Этот скрипт сначала собирает информацию о системе, а затем загружает ZIP-архив. Внутри архива находится двоичный файл, который при запуске развертывает основную вредоносную нагрузку. Для обеспечения постоянного присутствия в системе вредоносное ПО создает запись в ключе реестра Run и загружает PureRAT с использованием техники DLL side-loading.
PureRAT представляет собой модульный троян удаленного доступа (RAT), защищенный Reactor для усложнения анализа. Его функционал включает полный удаленный контроль над компьютером (клавиатура и мышь), наблюдение через веб-камеру и микрофон, кражу учетных данных с помощью кейлоггера, управление файлами, перенаправление сетевого трафика и удаленное выполнение команд или бинарных файлов.
Атака на отели является лишь первым этапом многоуровневой схемы мошенничества. Основная цель злоумышленников — кража учетных данных от платформ онлайн-бронирования, таких как и Expedia, для получения доступа к их внутренним системам управления.
Получив несанкционированный доступ, преступники связываются с клиентами отеля через WhatsApp или электронную почту. Используя подлинные детали бронирования, они выглядят убедительно и просят клиентов перейти по ссылке, чтобы «подтвердить» данные банковской карты и избежать отмены резервации. Эта ссылка ведет на фишинговую страницу, имитирующую или Expedia и предназначенную для кражи полной информации о кредитной карте жертвы.
Данная кампания поддерживается профессионализированной киберпреступной экосистемой. На криминальных форумах, таких как LolzTeam, злоумышленники приобретают информацию об администраторах заведений на . Распространение вредоносного ПО часто передается на аутсорсинг специалистам, известным как «трафферы».
Компрометация аккаунтов во внутренних системах управления , Expedia, Airbnb и Agoda стала прибыльным бизнесом. Доступ к ним продается в виде аутентификационных cookie-файлов или пар логин/пароль. Пользователь с ником «moderator_booking» рекламировал на форумах услугу по покупке логов, утверждая, что они проверяются вручную в течение 24-48 часов. Также для покупки логов с был замечен специальный бот в Telegram.
Для проверки валидности украденных учетных данных через прокси-серверы на киберпреступных форумах продаются специализированные инструменты-чекеры. Стоимость таких программ начинается всего от 40 долларов. Подобная модель «как услуга» значительно снижает порог входа для новых преступников и профессионализирует мошенническую деятельность.
Согласно отчету компании Push Security, тактика ClickFix постоянно совершенствуется. Для повышения убедительности злоумышленники встраивают в фишинговые страницы видео с инструкциями, таймеры обратного отсчета для создания срочности и счетчики «пользователей, проверенных за последний час» для создания эффекта социального доказательства. Страницы стали технически более сложными: они определяют операционную систему жертвы и показывают адаптированные инструкции для диалогового окна «Выполнить» в Windows или для приложения «Терминал» в macOS. Все чаще используется функция автоматического копирования вредоносного кода в буфер обмена пользователя, что упрощает процесс для жертвы.
