Bilgisayar Korsanları, Booking.com Kimlik Avı Yoluyla Japonya'daki Otellere Vurmak İçin Blockchain'den Yararlanıyor Yazılım

Bilgisayar Korsanları, Booking.com Kimlik Avı Yoluyla Japonya'daki Otellere Vurmak İçin Blockchain'den Yararlanıyor

Siber tehdit aktörleri, konuk şikayetlerini taklit eden kimlik avı e-postaları kullanarak ve otel personelini kötü amaçlı dosyaları yürütmeleri için k...

Siber tehdit aktörleri, konuk şikayetlerini taklit eden kimlik avı e-postaları kullanarak ve otel personelini kötü amaçlı dosyaları yürütmeleri için kandırmak üzere inceleme isteklerini kullanarak Japonya'daki Booking.com ortak konaklama tesislerinin çalışanlarını hedef alıyor.

Bu kampanya aracılığıyla sunulan kötü amaçlı yazılım TONResolver, akıllı bir sözleşmede barındırılıyor ve blockchain teknolojisinden, özellikle de Açık Ağ (TON) blockchain platformundan yararlanıyor.

Potansiyel kimlik bilgileri hırsızlığını ve daha fazla riske işaret eden takip faaliyetleriyle birlikte, ilk erişim ve komut yürütme dayanağı olarak işlev görür.

Booking.com Ortaklarına Kimlik Avı E-postaları

Kampanya, Trend Micro'nun araştırma birimi TrendAI Research tarafından Mayıs 2026'nın sonlarında tespit edildi.

Nasıl Önlem Alınmalı?

Booking.com'un Japon ortak şirketlerine Japonca "Önemli: Konuk Konaklaması İnceleme Talebi" konu satırıyla şüpheli e-postalar gönderilmişti. Bu e-postalar, hedefin saldırganla konuşmasını sağlamayı amaçlamaktadır.

Tehdit aktörü tarafından gönderilen takip e-postaları, hem şüpheli bir web sitesine yönlendiren hem de bir ZIP dosyası indiren bir köprü içeriyordu.

Önemli Gelişmeler

ZIP dosyasının içinde, fotoğraf dosyası kılığına girmiş bir kısayol bağlantı dosyası (LNK) bulunuyordu ve bu dosya, TrojanSpy.JS.TONRESOLVER.A'nın (uzaktan erişim truva atı (RAT) işlevi gören ve TrendAI araştırmacılarının aynı zamanda basitçe TONResolver olarak da adlandırdığı) bir PowerShell betiği aracılığıyla yüklenmesine yol açtı.

Japonya'daki ve Avusturya, Avustralya, Fransa, Almanya, Endonezya, İtalya, Hollanda, Rusya, Güney Kore, Türkiye, Birleşik Krallık ve ABD gibi diğer ülkelerdeki Booking.com konaklama ortaklarına bazıları İngilizce olmak üzere farklı konu satırlarıyla başka kötü amaçlı e-postalar gönderildi.

Ancak 29 Haziran'da yayınlanan bir TrendAI raporuna göre Japon otelcilik kuruluşları açık ara ana hedeflerdi.

Sonuç ve Değerlendirme

Bu e-postalar, bir planlama aracı hizmetinin bildirim işlevi kullanılarak gönderilmiştir; bu, Gönderen Politikası Çerçevesi (SPF), Etki Alanı Anahtarları Tanımlanmış Posta (DKIM) ve Etki Alanı Tabanlı İleti Kimlik Doğrulaması, Raporlama ve Uygunluk (DMARC) gibi etki alanı kimlik doğrulama teknolojilerine dayanan geleneksel e-posta güvenlik kontrollerini atladıkları anlamına gelir.

Paylaş: