Siga o Olhar Do dedo no Google Discover
Uma campanha de phishing em larga graduação que explora contas de parceiros do Booking.com tem comprometido sistemas de hotéis e dados de clientes, segundo relatório da empresa de segurança Sekoia.io.
O esquema, ativo desde pelo menos abril de 2025, faz vítimas realizarem pagamentos duplos — ao hotel e ao criminoso — depois a obtenção de credenciais e o uso de páginas falsas que imitam plataformas de suplente.
Ataque em poucas linhas
- Pesquisadores da Sekoia.io identificaram uma operação criminosa que começou com o envio de e-mails maliciosos originados de contas legítimas de hotéis ou de mensagens que se faziam passar pelo Booking.com;
- Cada mensagem continha um link que levava a vítima por uma cárcere de redirecionamentos antes de acionar a tática de engenharia social conhecida uma vez que ClickFix;
- Ao seguir o fluxo, a vítima era induzida a executar um comando PowerShell que baixava um malware identificado uma vez que PureRAT;
- O trojan permite que os invasores controlem remotamente as máquinas infectadas, roubem credenciais, capturem telas e exfiltrem dados sensíveis — além de possuir uma arquitetura modular que possibilita inclusão de plugins para ampliar funcionalidades.
Uma vez que as fraudes se desenvolviam
Analistas acreditam que o ataque inicial mirava funcionários de hotéis para roubar credenciais de plataformas de suplente, uma vez que Booking.com, Airbnb e Expedia. Com esses dados, os criminosos ou vendiam as credenciais em fóruns de delito cibernético, ou as utilizavam diretamente em esquemas fraudulentos.
Com chegada às credenciais de parceiros, os atacantes passaram a contatar hóspedes por e-mail ou WhatsApp alegando problemas com uma suposta verificação bancária.
As mensagens incluíam detalhes reais da suplente, o que aumentava a credibilidade do golpe, e direcionavam as vítimas a páginas falsas do Booking.com projetadas para colher informações de pagamento. Essas páginas foram hospedadas detrás de proteção da Cloudflare e tinham infraestrutura ligada à Rússia, segundo o relatório.
Leia mais:
Negócio de credenciais e dimensão financeira
A Sekoia.io observou um mercado ativo de credenciais do Booking.com em fóruns de língua russa. Os detalhes de chegada eram vendidos uma vez que cookies de autenticação ou pares de login e senha, com preços variando entre US$ 5 (R$ 26,37, na conversão direta) e US$ 5 milénio (R$ 26,3 milénio), conforme o valor percebido da conta. Um usuário identificado uma vez que “moderator_booking” teriam alegado ter obtido mais de US$ 20 milhões (R$ 105,4 milhões) em lucros, segundo o Infosecurity Magazine.
Os investigadores também registraram expansão das operações para incluir contas da Agoda, indicando uma profissionalização crescente do delito cibernético voltado ao setor de hospitalidade.
Segundo a Sekoia.io, há relatos de vítimas que foram obrigadas a remunerar duas vezes pela mesma suplente, reafirmando o impacto financeiro direto sobre hóspedes enganados pelo esquema. “Avaliamos com elevado intensidade de certeza que o cliente vítima desse esquema fraudulento pagou duas vezes pela suplente: uma vez ao hotel e outra ao cibercriminoso,” escreveu a Sekoia.io.
A empresa acrescentou ainda que a investigação revelou centenas de domínios maliciosos ativos por vários meses: “A estudo da infraestrutura do opositor revelou centenas de domínios maliciosos ativos por vários meses até outubro de 2025, demonstrando uma campanha resiliente e provavelmente lucrativa.”
O relatório detalha a cárcere técnica do golpe: uso de contas legítimas ou spoofing de remetente para dar verdade às mensagens; redirecionamentos que terminavam em páginas de engenharia social (ClickFix); solicitação de realização de comando PowerShell que instalava o PureRAT; e páginas falsas hospedadas com proteção Cloudflare e relacionadas a infraestrutura russa.
O PureRAT, por sua vez, oferecia ao atacante controle remoto totalidade do dispositivo comprometido, incluindo roubo de credenciais por conquista de tela e realização de módulos adicionais por meio de plugins.
A Sekoia.io afirmou ainda que continua monitorando a infraestrutura adversária e aperfeiçoando métodos de detecção para ajudar a proteger plataformas de suplente e seus clientes. No relatório, a empresa enfatiza a resiliência e a provável lucratividade da campanha, devido à existência de centenas de domínios maliciosos ativos por meses.
O que dizem as citadas
O Olhar Do dedo pediu às empresas citadas — Booking.com, Expedia e AirBnb — e aguarda retorno.
Manadeira: Olhar Do dedo
