Pesquisadores de segurança digital identificaram uma campanha de phishing em larga escala que mira o setor de hotelaria desde, pelo menos, abril de 2025. O ataque utiliza páginas no estilo ClickFix para obter credenciais de administradores de hotéis e instalar o malware PureRAT, também conhecido como zgRAT.
Como funciona o golpe
Segundo a empresa francesa de cibersegurança Sekoia, os criminosos se apropriam de contas de e-mail comprometidas e enviam mensagens que se passam pelo serviço Booking.com. O objetivo é convencer gerentes de hotéis, em vários países, a clicar em links fraudulentos.
Ao acessar o endereço, a vítima é redirecionada para uma página ClickFix que exibe um falso desafio de reCAPTCHA. Em seguida, um script JavaScript confere se o conteúdo está em um iframe e força a abertura do mesmo URL via HTTP. A etapa final instrui o usuário a copiar e executar um comando PowerShell que coleta informações do sistema, baixa um arquivo ZIP e instala o PureRAT por meio de DLL side-loading.
Capacidades do PureRAT
O malware tem funções modulares, incluindo:
- Controle remoto de mouse e teclado;
- Acesso a webcam e microfone;
- Keylogging;
- Envio e recebimento de arquivos;
- Proxy de tráfego;
- Execução remota de comandos;
- Extração de dados.
Protegido por .NET Reactor, o código dificulta a engenharia reversa e garante persistência por meio de chaves Run no registro do Windows.
Exploração de dados de reservas
Além de atingir administradores, os invasores abordam hóspedes via WhatsApp ou e-mail, usando detalhes reais de reservas. Eles solicitam que o cliente confirme dados do cartão para evitar o cancelamento da hospedagem, levando-o a páginas falsas que imitam Booking.com ou Expedia e roubam as informações bancárias.
Imagem: Internet
Mercado ilegal de credenciais
Credenciais de extranet do Booking.com se tornaram produto lucrativo em fóruns como LolzTeam. Os agentes compram dados de login ou cookies de sessão extraídos por infostealers e, em alguns casos, oferecem pagamento proporcional ao lucro. Um bot no Telegram foi observado adquirindo registros de Booking.com, enquanto o usuário “moderator_booking” anuncia a compra de logs de Booking, Expedia, Airbnb e Agoda, validados em até 48 horas com ferramentas que custam cerca de US$ 40.
Evolução da tática ClickFix
A empresa Push Security relatou melhorias recentes nas páginas ClickFix, agora com vídeo incorporado, cronômetro regressivo e contador de “usuários verificados na última hora” para aumentar a credibilidade. Os sites também adaptam instruções ao sistema operacional detectado e copiam automaticamente o código malicioso para a área de transferência da vítima.
De acordo com a Sekoia, a oferta de serviços “as a service” para cada etapa do ataque — de obtenção de credenciais a verificação de logs — demonstra a profissionalização do esquema e reduz a barreira de entrada para novos criminosos.
Com informações de The Hacker News