Campagne « I Paid Twice » : hameçonnage Booking.com via ClickFix et PureRAT visant hôtels et clients
Source et contexte: Sekoia.io publie une analyse TDR d’une campagne active depuis au moins avril 2025, identifiée comme « I Paid Twice », visant les établissements hôteliers et leurs clients via des compromissions de comptes Booking.com et des leurres de paiement. 🔎 Vecteur initial et infrastructure: Des emails malveillants provenant d’adresses compromises (parfois usurpant Booking.com) redirigent vers une chaîne de pages et scripts JavaScript menant à la tactique de social engineering « ClickFix ». Un service de redirection type TDS masque l’infrastructure et résiste aux takedowns. Les pages imitent l’extranet Booking (motifs d’URL admin/extranet) et poussent l’utilisateur à copier/exec un one‑liner PowerShell. ...