Một tác nhân đe dọa nói tiếng Nga đã triển khai một chiến dịch phishing quy mô lớn, đăng ký hơn 4.300 tên miền độc hại nhằm vào đối tượng khách du lịch kể từ đầu năm 2025. Hoạt động tinh vi này tùy chỉnh các trang phishing để giả mạo các thương hiệu du lịch lớn như Airbnb, Booking.com, Expedia và Agoda.

Mục tiêu chính là lừa đảo người dùng cung cấp thông tin thẻ thanh toán dưới vỏ bọc xác nhận đặt phòng khách sạn. Chiến dịch cho thấy sự đầu tư đáng kể vào kỹ thuật và khả năng che giấu, gây ra một mối đe dọa mạng đáng kể cho khách du lịch toàn cầu.

Kỹ thuật và Mục tiêu của Chiến dịch Phishing Toàn diện

Nhắm mục tiêu và giả mạo thương hiệu

Chiến dịch bắt đầu bằng các email lừa đảo (malspam) tuyên bố xác nhận đặt phòng khách sạn. Những email này thôi thúc người nhận nhấp vào các liên kết dường như dẫn đến các trang web đặt phòng hợp pháp.

Tuy nhiên, các liên kết này thực chất chuyển hướng người dùng qua nhiều trang trung gian. Các trang đích phishing được thiết kế đặc biệt để giả mạo giao diện của các gã khổng lồ trong ngành du lịch.

Điều này bao gồm việc tái tạo chính xác các yếu tố nhận diện thương hiệu để tăng cường tính hợp pháp và đánh lừa người dùng, phục vụ mục đích đánh cắp dữ liệu nhạy cảm.

Kỹ thuật che giấu và vượt qua bộ lọc

Để tránh bị phát hiện và làm phức tạp quá trình gán tội, tác nhân đe dọa sử dụng kỹ thuật chuyển hướng tinh vi. Các liên kết trong email malspam không trực tiếp dẫn đến trang phishing.

Thay vào đó, chúng điều hướng người dùng qua các trang trung gian, đôi khi là các tên miền bị bỏ hoang hoặc nền tảng blog miễn phí. Kỹ thuật này giúp vượt qua các bộ lọc bảo mật truyền thống và gây khó khăn cho việc phân tích lưu lượng truy cập độc hại.

Độ tinh vi của Phishing Kit

Hệ thống nhận dạng AD_CODE độc đáo

Phishing kit thể hiện sự tinh vi kỹ thuật đáng kể, sử dụng hệ thống định danh duy nhất là “AD_CODE”. Mã này được nhúng trong các URL để tùy chỉnh thương hiệu của trang dựa trên sở thích của khách truy cập.

Một tên miền phishing duy nhất có thể giả mạo nhiều thương hiệu du lịch hợp pháp, tùy thuộc vào giá trị AD_CODE trong URL. Nếu truy cập trang web mà không có AD_CODE hợp lệ, người dùng sẽ thấy một trang trống hoặc thông báo lỗi.

Tính năng này ngăn cản các nhà nghiên cứu bảo mật và người dùng không được ủy quyền dễ dàng khám phá ra lừa đảo. Nó giới hạn khả năng phân tích và phát hiện tự động của các công cụ bảo mật.

Đa ngôn ngữ và giả mạo giao diện

Chiến dịch phishing này có phạm vi nhắm mục tiêu quốc tế toàn diện, với các trang phishing được dịch sang 43 ngôn ngữ khác nhau. Cách tiếp cận đa ngôn ngữ này cho phép tác nhân đe dọa mở rộng phạm vi ảnh hưởng, nhắm mục tiêu khách du lịch trên toàn thế giới.

Các trang phishing còn bao gồm cửa sổ “trò chuyện hỗ trợ trực tuyến” giả mạo và CAPTCHA giả mạo thương hiệu Cloudflare. Các yếu tố thiết kế này được chọn lọc kỹ lưỡng để tăng tính hợp pháp và thao túng mục tiêu hoàn thành giao dịch gian lận.

Phân tích IOCs và Quy trình Đăng ký Domain

Phân tích các tên miền độc hại cho thấy các quy ước đặt tên nhất quán. Chúng thường kết hợp các từ khóa liên quan đến du lịch như “verification”, “confirmation”, “booking”, “cardverify” và “guestverify”.

Trong số 4.344 tên miền được xác định, 685 tên miền chứa “Booking”, 18 tên miền tham chiếu “Expedia”, 13 tên miền đề cập “Agoda” và 12 tên miền nhắc đến “Airbnb”. Điều này cho thấy sự tập trung rõ ràng vào các thương hiệu lớn.

Đặc biệt, tác nhân đe dọa đã đăng ký các tên miền cụ thể giả mạo các khách sạn boutique trên toàn thế giới, bao gồm các cơ sở ở Nepal, Đức, Hy Lạp, Tây Ban Nha và Brazil. Để biết thêm chi tiết về hoạt động này, bạn có thể tham khảo bài viết Netcraft về chiến dịch lừa đảo hàng loạt.

Tốc độ đăng ký tên miền đáng kinh ngạc, thường là 10 đến 65 tên miền mỗi tuần. Đáng chú ý, vào ngày 20 tháng 3 năm 2025, kẻ tấn công đã đăng ký ít nhất 511 tên miền chỉ trong một ngày.

Chỉ số thỏa hiệp (IOCs)

• Quy ước đặt tên miền phổ biến:
  • verification
  • confirmation
  • booking
  • cardverify
  • guestverify
• Thương hiệu bị giả mạo trong tên miền:
  • Booking (685 tên miền)
  • Expedia (18 tên miền)
  • Agoda (13 tên miền)
  • Airbnb (12 tên miền)
• Nhà đăng ký tên miền chính:
  • WebNIC
  • Public Domain Registry
  • Atak Domain Bilgi Teknolojileri A.S.
  • MAT BAO Corporation
• Các TLD chuyên biệt được sử dụng:
  • .world
  • .sale
  • .help

Quy trình Lấy cắp Dữ liệu Thanh toán

Giao diện và Xác thực

Khi đến trang phishing, khách truy cập sẽ thấy các biểu mẫu yêu cầu chi tiết thẻ thanh toán, bao gồm tên chủ thẻ, số thẻ, mã CVV và ngày hết hạn. Một phiên bản đầu tiên của trang phishing hiển thị tên “Hotel Palazzo Argenta”.

Hình ảnh này được phủ lên một ảnh nền có dòng chữ “Verification In Progress” hiển thị sai tỷ lệ khung hình, cùng với ngày “nhận phòng” và “trả phòng”. Điều này tăng cường sự giả mạo và cảm giác cấp bách cho nạn nhân.

Các trang này thực hiện Luhn validation để xác minh định dạng thẻ trước khi cố gắng thực hiện các giao dịch nền. Đồng thời, một cửa sổ trò chuyện hỗ trợ giả mạo hiển thị hướng dẫn khuyến khích nạn nhân cung cấp thông tin thanh toán như một “biện pháp bổ sung” chống lại các đặt phòng giả mạo.

Thu thập dữ liệu theo thời gian thực

Đằng sau hậu trường, cơ sở hạ tầng phishing liên tục thăm dò máy chủ web. Điều này nhằm truyền tải các cập nhật theo thời gian thực về thao tác gõ phím của người dùng, dữ liệu thẻ đã gửi và các tương tác trò chuyện.

Cơ chế thu thập dữ liệu này được thiết kế để trích xuất thông tin tối đa. Nó đảm bảo rằng mọi chi tiết nhạy cảm được thu thập một cách hiệu quả, phục vụ mục đích đánh cắp dữ liệu thẻ tín dụng.

Nhận định về Tác nhân Đe dọa

Dấu vết ngôn ngữ và năng lực

Các bình luận bằng tiếng Nga và đầu ra gỡ lỗi tràn ngập trong mã nguồn của phishing kit. Mã HTML được bình luận rộng rãi bằng tiếng Nga, đây là một dấu vết ngôn ngữ quan trọng và rõ ràng về nguồn gốc của chiến dịch phishing này.

Dấu vết ngôn ngữ này, kết hợp với sự tinh vi kỹ thuật và quy mô hoạt động, cho thấy mạnh mẽ rằng các tội phạm mạng nói tiếng Nga đang điều hành chiến dịch phishing này. Có khả năng chúng đang tiếp thị phishing kit tùy chỉnh này cho các tác nhân đe dọa khác trong các diễn đàn tội phạm.