Một chiến dịch malvertising tinh vi đã xuất hiện, nhắm mục tiêu cụ thể vào các chủ khách sạn và nhà điều hành cho thuê kỳ nghỉ. Chiến dịch này giả mạo các nhà cung cấp dịch vụ nổi tiếng để thực hiện một cuộc tấn công mạng quy mô lớn.

Theo báo cáo từ Okta Threat Intelligence, những kẻ tấn công đã sử dụng các quảng cáo tìm kiếm độc hại, đặc biệt là các quảng cáo được tài trợ trên Google Search, để lôi kéo các chuyên gia ngành khách sạn không nghi ngờ vào các cổng đăng nhập giả mạo.

Mục tiêu chính của các hoạt động độc hại này là thu thập thông tin xác thực. Chúng nhắm vào các nền tảng quản lý tài sản và hệ thống nhắn tin cho khách dựa trên đám mây, vốn là xương sống trong hoạt động hàng ngày của ngành dịch vụ.

Chiến dịch Malvertising và Kỹ thuật Typosquatting trong Tấn công Mạng

Kể từ giữa năm 2025, các nhà nghiên cứu đã ghi nhận những kẻ tấn công mua các vị trí quảng cáo được tài trợ cho ít nhất mười ba nhà cung cấp công nghệ hàng đầu trong lĩnh vực khách sạn và cho thuê kỳ nghỉ.

Khi người dùng tìm kiếm tên của một trong những nhà cung cấp này, các kết quả tìm kiếm được tài trợ sẽ ưu tiên hiển thị và dẫn họ đến các tên miền trông giống thật. Những tên miền này lợi dụng các biến thể typosquatting của các URL hợp pháp, tạo ra một bẫy lừa đảo tinh vi.

Khi nạn nhân truy cập vào trang web giả mạo, họ sẽ đối mặt với các trang đăng nhập được thiết kế cực kỳ thuyết phục. Những trang này yêu cầu các thông tin nhạy cảm như email công ty, mật khẩu và thậm chí cả số điện thoại cá nhân.

Điểm đáng chú ý là các quảng cáo độc hại này luôn xuất hiện phía trên các tên miền nhà cung cấp chính hãng trong kết quả tìm kiếm. Điều này khai thác triệt để thói quen của người dùng là nhấp vào các liên kết đầu tiên mà họ thấy.

Các ví dụ cụ thể bao gồm việc hai trang web giả mạo riêng biệt được quảng cáo nổi bật hơn các trang chính thức của các hệ thống quản lý tài sản nổi tiếng. Oracle Hospitality là một trong những nhà cung cấp bị nhắm mục tiêu, với việc những kẻ tấn công tạo ra các tên miền lừa đảo phản ánh chính xác thương hiệu của Oracle.

Kỹ thuật Đánh cắp Dữ liệu Đăng nhập và Vượt qua Xác thực Đa Yếu tố (MFA)

Trọng tâm của giai đoạn đầu chiến dịch này là thu thập thông tin xác thực. Các biểu mẫu đăng nhập giả mạo không chỉ được thiết kế để nắm bắt thông tin tài khoản cơ bản mà còn đặc biệt nhắm đến việc lừa đảo mã xác thực đa yếu tố (MFA), một lớp bảo mật quan trọng.

Một số trang lừa đảo công khai yêu cầu người dùng nhập “Mật khẩu một lần” (One-time password). Các trang khác lại cung cấp các tùy chọn như “Đăng nhập bằng mã SMS” hoặc “Mã Email” ngay sau khi người dùng đã gửi mật khẩu của mình.

Khi nạn nhân nhập số điện thoại, họ sẽ được nhắc cung cấp mã SMS một lần. Kỹ thuật này cho phép những kẻ tấn công bỏ qua các biện pháp bảo vệ MFA hiệu quả, mở đường cho việc chiếm quyền kiểm soát tài khoản. Đây là một đặc điểm đáng lo ngại trong các chiến thuật tấn công mạng gần đây.

Dấu hiệu Kỹ thuật và Nguồn gốc Tiềm năng của Mối Đe Dọa Mạng

Phân tích chuyên sâu mã nguồn của các trang lừa đảo đã tiết lộ một chức năng beaconing được triển khai bằng JavaScript. Chức năng này được dùng để gửi dữ liệu về cho kẻ tấn công.

function beacon() {
    // Thông báo lỗi tiếng Nga: "Ошибка запроса" (Lỗi yêu cầu)
    // Bình luận tiếng Nga: "Запускаем запрос каждые 10 секунд" (Chúng tôi bắt đầu yêu cầu mỗi 10 giây)
    setInterval(function() {
        // Gửi dữ liệu nạn nhân đến máy chủ C2 của kẻ tấn công
        console.log("Đang gửi dữ liệu nạn nhân về C2...");
    }, 10000);
}
beacon();

Sự hiện diện của thông báo lỗi tiếng Nga (“Ошибка запроса,” có nghĩa là “Lỗi yêu cầu”) và bình luận bằng tiếng Nga (“Запускаем запрос каждые 10 секунд,” có nghĩa là “Chúng tôi bắt đầu yêu cầu cứ sau 10 giây”) là những dấu hiệu mạnh mẽ. Chúng gợi ý mối liên hệ tiềm năng với các tác nhân đe dọa nói tiếng Nga, làm tăng thêm tính phức tạp của mối đe dọa mạng này.

Ngoài ra, Okta cũng đã quan sát thấy việc những kẻ tấn công sử dụng nhà cung cấp proxy trung tâm dữ liệu của Nga trong quá trình thực hiện các nỗ lực đăng nhập. Đây là một bằng chứng quan trọng, giúp xác định nguồn gốc và đặc điểm của nhóm tấn công.

Dữ liệu Thu thập và Tối ưu hóa Chiến dịch Lừa đảo

Bên cạnh việc thu thập thông tin xác thực, các trang lừa đảo còn sử dụng kỹ thuật beaconing để thu thập các phân tích thời gian thực về nạn nhân. Dữ liệu này cung cấp cái nhìn sâu sắc về môi trường mục tiêu, bao gồm:

• Địa chỉ IP của nạn nhân
• Tác nhân người dùng (User-agent)
• Ngôn ngữ trình duyệt đang sử dụng
• Kích thước khung nhìn (viewport size)
• Độ phân giải màn hình
• Hệ điều hành đang chạy

Những thông tin tình báo chi tiết này cho phép những kẻ tấn công tinh chỉnh các chiêu trò kỹ thuật xã hội của chúng. Chúng có thể nhắm mục tiêu hiệu quả hơn vào các khu vực địa lý cụ thể hoặc môi trường mạng nhất định. Hơn nữa, việc thu thập dữ liệu này giúp đảm bảo các trang lừa đảo của chúng vẫn hoạt động mà không bị phát hiện bởi các biện pháp phòng thủ tự động, làm cho các cuộc tấn công mạng trở nên khó bị ngăn chặn hơn.

Ảnh hưởng và Rủi ro Nghiêm trọng Đối với Ngành Khách sạn

Ít nhất một chục nhà cung cấp công nghệ khách sạn đã bị giả mạo trong chiến dịch này. Do vai trò trung tâm của các nền tảng quản lý tài sản và giao tiếp với khách dựa trên đám mây trong hoạt động hàng ngày của khách sạn, việc chiếm đoạt thành công các tài khoản này có thể dẫn đến hậu quả nghiêm trọng.

Các tác nhân đe dọa có thể giành được quyền truy cập trái phép vào các đặt phòng, dữ liệu cá nhân của khách hàng và thông tin tài chính nhạy cảm. Đây là một rủi ro lớn đối với uy tín và hoạt động kinh doanh của các doanh nghiệp.

Thông tin xác thực bị đánh cắp có thể bị khai thác để thao túng các đặt phòng, chặn và thay đổi các thông tin liên lạc của khách. Nghiêm trọng hơn, chúng có thể bị dùng để triển khai ransomware được thiết kế riêng cho môi trường khách sạn, gây ra thiệt hại tài chính và gián đoạn hoạt động nghiêm trọng. Việc này có thể dẫn đến rò rỉ dữ liệu nhạy cảm và vi phạm quy định bảo mật.

Tăng cường An toàn Thông tin để Chống lại Tấn công Mạng

Để đối phó với những mối đe dọa này, Okta đã kêu gọi các tổ chức bị ảnh hưởng và đối tác của họ áp dụng các biện pháp kiểm soát bảo mật mạnh mẽ. Điều này bao gồm việc tăng cường cảnh giác người dùng, triển khai xác thực đa yếu tố mạnh mẽ và thường xuyên kiểm tra các dấu hiệu lừa đảo.

Việc bảo vệ an toàn thông tin trong ngành khách sạn là tối quan trọng để ngăn chặn các hậu quả nghiêm trọng từ các cuộc tấn công mạng ngày càng tinh vi. Các tổ chức cần đầu tư vào đào tạo nhân viên và các giải pháp bảo mật tiên tiến để giảm thiểu rủi ro.