Netcraft publie une analyse détaillée d’une campagne de phishing visant les voyageurs et clients d’hôtels, conduite depuis début 2025 par un acteur russophone. L’opération s’appuie sur un kit de phishing sophistiqué qui personnalise dynamiquement les pages en fonction d’un code unique dans l’URL et imite des marques majeures comme Airbnb et Booking.com.

• Aperçu de la menace. L’attaque cible des personnes ayant (ou semblant avoir) des réservations via des emails malveillants transitant par le service “Want Your Feedback”. Les pages sont traduites en 43 langues, ajustent format de date, devise et marque selon un “AD_CODE” et affichent une fausse assistance chat.

• Chaîne d’attaque. Le mail incite à “confirmer” une réservation par carte bancaire. Le lien redirige via un domaine désuet (ex-site de film de 2016), puis Blogspot, avant d’aboutir sur la page de phishing. Un faux CAPTCHA au look Cloudflare bloque l’accès; sans l’“AD_CODE” dans l’URL, la page renvoie un écran “AD not found (captcha2)”. Des cookies “AD_CODE” et “D_TYPE” fixent la marque usurpée pour les visites suivantes.

• Vol de données et tentatives de débit. Le formulaire exige nom, numéro de carte, date d’expiration, CVV, applique une validation Luhn puis tente un débit en arrière-plan, avec un interlude façon “Verified by Visa”. En parallèle, un faux chat d’assistance guide la victime. Le code de la page sonde en continu le serveur (environ toutes les 0,5–1 s) et transmet frappes et données en temps réel (observé via Wireshark). 🧪

• Infrastructure et périmètre. Depuis février 2025, au moins 4 344 domaines ont été enregistrés; pic de 511 domaines le 20 mars 2025. Nommage récurrent: confirmation/confirm, booking, guestverify/verifyguest, cardverify, reservation; des centaines reprennent des noms d’hôtels réels. Marques visées: “Booking” (685 domaines), “Expedia” (18), “Agoda” (13), “Airbnb” (12). Registrars fréquents: WebNIC, Public Domain Registry, Atak Domain Bilgi Teknolojileri A.S., MAT BAO Corporation; TLDs .world, .sale, .help. Quelques domaines hors thématique référencent banques (BofA, Citi, AlfaBank), Western Union/MoneyGram, Bolha, OLX Market, DPD.cz, Shred Time, Ask Natalie. 🛎️

• Indices d’attribution. Le code HTML est largement commenté en russe, avec des messages de debug (ex. “Notifications Not Supported” en russe), indiquant une origine russophone du kit. Netcraft précise avoir publié des indicateurs de compromission (IoC) liés à cette campagne sur son GitHub.

IoC et TTPs:

  • IoC (extraits du rapport):

    • Volume et pattern de domaines: ≥4 344 domaines; pic le 20/03/2025 (≥511).
    • Registrars: WebNIC, Public Domain Registry, Atak Domain Bilgi Teknolojileri A.S., MAT BAO Corporation.
    • gTLDs: .world, .sale, .help.
    • Cookies: “AD_CODE”, “D_TYPE”; message d’erreur: “AD not found (captcha2)”.
    • Redirections: domaine ancien (site de film, 2016) → Blogspot → site de phishing.
    • Chaînes de marque dans les domaines: “Booking”, “Expedia”, “Agoda”, “Airbnb”; mots-clés récurrents: “confirm/confirmation”, “booking”, “guestverify/verifyguest”, “cardverify”, “reservation”.
    • Artefacts UI: faux CAPTCHA style Cloudflare; faux dialogue “Verified by Visa”; faux “chat”.

  • TTPs:

    • Usurpation de marque et personnalisation dynamique via paramètre URL “AD_CODE” et cookies persistants.
    • Malspam ciblé via “Want Your Feedback”; chaînes de redirection multi-sauts.
    • Validation Luhn, débit carte en arrière-plan, overlay 3-D Secure factice.
    • Sondage réseau continu (0,5–1 s) capturant frappes et données en temps réel.
    • Anti-curiosité/anti-indexation: page blanche ou message si AD_CODE absent.
    • Localisation: 43 langues, formats de date et devises adaptés.

Conclusion: Il s’agit d’une analyse technique publiée par Netcraft décrivant une vaste campagne de phishing contre le secteur du voyage, documentant l’infrastructure, les mécanismes de leurre, les artefacts et les IoC.

🧠 TTPs et IOCs détectés

TTP

[“Usurpation de marque et personnalisation dynamique via paramètre URL ‘AD_CODE’ et cookies persistants”, “Malspam ciblé via ‘Want Your Feedback’; chaînes de redirection multi-sauts”, ‘Validation Luhn, débit carte en arrière-plan, overlay 3-D Secure factice’, ‘Sondage réseau continu (0,5–1 s) capturant frappes et données en temps réel’, “Anti-curiosité/anti-indexation: page blanche ou message si ‘AD_CODE’ absent”, ‘Localisation: 43 langues, formats de date et devises adaptés’]

IOC

[‘Volume et pattern de domaines: ≥4 344 domaines; pic le 20/03/2025 (≥511)’, ‘Registrars: WebNIC, Public Domain Registry, Atak Domain Bilgi Teknolojileri A.S., MAT BAO Corporation’, ‘gTLDs: .world, .sale, .help’, “Cookies: ‘AD_CODE’, ‘D_TYPE’; message d’erreur: ‘AD not found (captcha2)’”, ‘Redirections: domaine ancien (site de film, 2016) → Blogspot → site de phishing’, “Chaînes de marque dans les domaines: ‘Booking’, ‘Expedia’, ‘Agoda’, ‘Airbnb’; mots-clés récurrents: ‘confirm/confirmation’, ‘booking’, ‘guestverify/verifyguest’, ‘cardverify’, ‘reservation’”, “Artefacts UI: faux CAPTCHA style Cloudflare; faux dialogue ‘Verified by Visa’; faux ‘chat’”]

🔗 Source originale : https://www.netcraft.com/blog/thousands-of-domains-target-hotel-guests-in-massive-phishing-campaign