- Penyerang menggunakan phishing untuk meretas akun manajer hotel di Booking.com.
- Mereka menipu pelanggan hotel melalui aplikasi Booking.com dengan teknik dual-pronged yang canggih berbahaya.
- Penyerang mengarahkan pengguna ke portal palsu "extraknet-booking.com" yang meniru antarmuka Booking.com hotel.
pibitek.biz -Sebuah laporan dari OSINTMATTER telah mengumumkan adanya kampanye phishing yang canggih yang menargetkan platform pemesanan perjalanan online terkemuka, Booking.com. Penyerang menggunakan metode multifase yang dimulai dengan meretas akun manajer hotel dan berakhir dengan menipu pelanggan hotel secara langsung melalui aplikasi Booking.com. Penyerang pertama-tama mengarahkan perhatian mereka pada akun manajer hotel di Booking.com, memungkinkan mereka mendapatkan akses tidak sah ke sistem yang mengelola reservasi pelanggan dan transaksi.
2 – AI: Ancaman Baru bagi Keamanan Siber 2 – AI: Ancaman Baru bagi Keamanan Siber
3 – Ancaman Cerberus, Trojan Perbankan yang Sulit Dideteksi 3 – Ancaman Cerberus, Trojan Perbankan yang Sulit Dideteksi
Setelah masuk, penyerang kemudian beralih ke fase kedua, yaitu menipu pelanggan hotel melalui aplikasi Booking.com yang sah. Dengan menggunakan metode dual-pronged ini, penipuan ini telah menjadi salah satu yang paling sukses di dunia cyber, dengan akibat yang sangat berbahaya bagi industri dan pelanggannya. Penyerang menggunakan domain palsu "extraknet-booking.com" yang dirancang untuk meniru subdomain sah "extranet-booking.com" yang digunakan oleh manajer hotel Booking.com. Dengan mengubah sedikit nama domain, penyerang berhasil menipu bahkan pengguna yang paling waspada, mengarahkan mereka ke portal palsu yang meniru antarmuka Booking.com yang sah. Portal palsu ini dirancang untuk mengumpulkan informasi sensitif, termasuk kredensial login, data pribadi, dan detail keuangan. Untuk memancing korban ke portal ini, penyerang menggunakan berbagai taktik, mulai dari email palsu biasa hingga teknik SEO poisoning yang memanipulasi hasil pencarian mesin untuk membuat situs berbahaya tampak sah. Salah satu fitur menonjol dari situs phishing ini adalah penggunaan JavaScript obfuscation, teknik yang digunakan untuk mengaburkan kode berbahaya dan menghindari deteksi oleh alat keamanan.
Pengkodean ini, yang melibatkan pengkodean string tertentu menggunakan parseInt, membuat kode sulit dianalisis. String ini, ketika di-decode, mengumumkan kata "??????????" (loaded) dalam skrip Cyrillic, menunjukkan kemungkinan hubungan dengan penyerang berbahasa Rusia. Analisis lebih lanjut terhadap file JavaScript yang dieksekusi oleh "extraknet-booking.com" mengumumkan koneksi ke ratusan situs berbahaya lainnya, semua terkait dengan malware Trojan Ninja. Malware ini terkenal karena memungkinkan beberapa operator untuk mengontrol sistem yang terinfeksi secara bersamaan, membuatnya menjadi alat yang efektif dalam arsenal penyerang.
Elemen lain yang ditemukan dalam kampanye phishing ini adalah identifikasi 238 permintaan binding STUN (Session Traversal Utilities for NAT) ke berbagai domain terkait dengan layanan VoIP WebRTC yang terbuka. Meskipun permintaan STUN biasanya digunakan dalam aplikasi sah seperti panggilan VoIP, volume dan penggunaan port non-standar yang tidak biasa terlihat di sini menunjukkan kemungkinan niat berbahaya, seperti eksfiltrasi data atau komunikasi diam-diam dengan sistem yang terinfeksi. Salah satu server STUN yang dihubungi, "stun.usfamily.net", telah diberi tanda sebagai server yang terinfeksi, meningkatkan kecurigaan tentang aktivitas penyerang. Penggunaan STUN dalam konteks ini sejalan dengan temuan penelitian sebelumnya, yang menyoroti bagaimana penyerang memanfaatkan protokol baru dan menyembunyikan lalu lintas berbahaya dalam layanan sah. Situs phishing ini juga menggunakan teknik dynamic cloaking, metode yang canggih yang memungkinkan situs untuk menampilkan konten yang berbeda berdasarkan profil pengguna. Tergantung pada faktor seperti alamat IP, pengaturan browser, atau data pengenal lainnya, situs ini mungkin menampilkan portal palsu berbahaya, halaman Booking.com yang sah, atau bahkan halaman kesalahan untuk menghindari deteksi oleh peneliti keamanan. Mekanisme cloaking ini efektif melindungi operasi phishing dari perhatian, membuatnya sulit bagi penyelidik untuk mengumumkan sepenuhnya skala penipuan ini. Pengujian yang dilakukan pada konfigurasi mesin virtual yang berbeda menunjukkan bagaimana situs dapat menampilkan respons yang berbeda, mulai dari batas waktu hingga akses penuh ke portal phishing, berdasarkan kondisi yang dipenuhi. Selama investigasi, penemuan kunci dilakukan – halaman phishing berisi frame yang terkait dengan "httxx://ls.
cdn-gw-dv[. ]vip/ dedge/zd/zd-service[. ]html", sebuah hub pusat yang menghubungkan ratusan situs phishing lainnya yang menargetkan Booking.com dan platform serupa. Frame ini berfungsi sebagai alat yang kuat bagi penyerang, memungkinkan mereka untuk mengontrol secara terpusat, memperluas jangkauan skema mereka, dan mengumpulkan analisis berharga tentang efektivitas berbagai halaman phishing mereka. Serangan ini menyoroti sifat yang semakin canggih dari kampanye phishing dan kebutuhan akan waspada yang lebih tinggi dalam industri perjalanan.
