Аналитики Sekoia.io описали фишинговую кампанию под названием «I Paid Twice».
В ней злоумышленники компрометировали учётные записи партнёров на платформах бронирования и рассылали от их имени письма гостиницам и сообщения клиентам через WhatsApp. Кампания активна как минимум с апреля 2025 и продолжалась до начала октября 2025 года, говорят исследователи.
В атаке использовалась многоступенчатая схема: злоумышленники отправляли гостиницам электронные письма с поддельными сообщениями в стиле Booking.com; в письмах находились ссылки на инфраструктуру редиректов, которая переводила жертву на страницу ClickFix. На этой странице жертве предлагалось скопировать команду, в результате выполнялся PowerShell-скрипт, который загружал ZIP-архив с исполняемым файлом и DLL, обеспечивавшим устойчивое присутствие на машине и загрузку бэкдора PureRAT.
Sekoia.io фиксирует характерные индикаторы: шаблон URL-редиректов вида hxxps://{randomname}.com/[a-z0-9]{4}, присутствие пути /bomla на стадии доставки payload, а также постоянное имя архива updserc.zip. Часть вредоноса реализована через DLL side-loading и reflective loading, что позволяет загружать PureRAT в память без записи на диск.
PureRAT в этом кейсе действует как модульный RAT: сбор системной информации, удалённый доступ к рабочему столу, запись скриншотов, перехват данных из кошельков и менеджеров паролей, загрузка дополнительных плагинов и эксфильтрация через зашифрованный C2-канал. Коммуникация RAT шифруется и использует порты 56001–56003, отмечают авторы отчёта.
Исследователи называют данный сценарий примером «кинжала по цепочке поставок доверия»: сначала заражаются рабочие станции персонала гостиниц и похищаются учётные данные, затем эти данные применяются для массовой рассылки целевых фишинговых писем и WhatsApp-сообщений клиентам с вкраплением реальных деталей бронирования. Sekoia.io публикует детальные IoC и рекомендации по обнаружению ClickFix-цепочки и PureRAT в корпоративных сетях.
В ней злоумышленники компрометировали учётные записи партнёров на платформах бронирования и рассылали от их имени письма гостиницам и сообщения клиентам через WhatsApp. Кампания активна как минимум с апреля 2025 и продолжалась до начала октября 2025 года, говорят исследователи.
В атаке использовалась многоступенчатая схема: злоумышленники отправляли гостиницам электронные письма с поддельными сообщениями в стиле Booking.com; в письмах находились ссылки на инфраструктуру редиректов, которая переводила жертву на страницу ClickFix. На этой странице жертве предлагалось скопировать команду, в результате выполнялся PowerShell-скрипт, который загружал ZIP-архив с исполняемым файлом и DLL, обеспечивавшим устойчивое присутствие на машине и загрузку бэкдора PureRAT.
Sekoia.io фиксирует характерные индикаторы: шаблон URL-редиректов вида hxxps://{randomname}.com/[a-z0-9]{4}, присутствие пути /bomla на стадии доставки payload, а также постоянное имя архива updserc.zip. Часть вредоноса реализована через DLL side-loading и reflective loading, что позволяет загружать PureRAT в память без записи на диск.
PureRAT в этом кейсе действует как модульный RAT: сбор системной информации, удалённый доступ к рабочему столу, запись скриншотов, перехват данных из кошельков и менеджеров паролей, загрузка дополнительных плагинов и эксфильтрация через зашифрованный C2-канал. Коммуникация RAT шифруется и использует порты 56001–56003, отмечают авторы отчёта.
Исследователи называют данный сценарий примером «кинжала по цепочке поставок доверия»: сначала заражаются рабочие станции персонала гостиниц и похищаются учётные данные, затем эти данные применяются для массовой рассылки целевых фишинговых писем и WhatsApp-сообщений клиентам с вкраплением реальных деталей бронирования. Sekoia.io публикует детальные IoC и рекомендации по обнаружению ClickFix-цепочки и PureRAT в корпоративных сетях.
