Blockchain Kullanan Yeni Kimlik Avı: Booking.com Ortakları Hedefte Siber Güvenlik

Blockchain Kullanan Yeni Kimlik Avı: Booking.com Ortakları Hedefte

Siber saldırganlar, Booking.com ortaklarına sahte e-postalar göndererek blockchain tabanlı TONResolver kötü amaçlı yazılımını bulaştırıyor.

Siber suçlular, Japonya'daki Booking.com ortak konaklama işletmelerinin çalışanlarını hedef alan yeni bir kimlik avı kampanyası başlattı. Saldırganlar, otel personelini kötü amaçlı dosyaları çalıştırmaya ikna etmek için misafir şikayetlerini ve inceleme taleplerini taklit eden e-postalar gönderiyor. Bu kampanyada kullanılan TONResolver adlı kötü amaçlı yazılım, bir akıllı sözleşme üzerinde barındırılıyor ve blockchain teknolojisinden, özellikle The Open Network (TON) platformundan yararlanıyor.

Trend Micro'nun araştırma birimi TrendAI tarafından Mayıs 2026 sonunda tespit edilen kampanyada, Booking.com'un Japon ortaklarına 'Önemli: Misafir İnceleme Talebi' konulu şüpheli e-postalar gönderildi. Bu e-postalar, hedefi saldırganla iletişime geçmeye teşvik etmeyi amaçlıyor. Ardından gönderilen ikinci e-postalarda, hem şüpheli bir web sitesine yönlendiren hem de bir ZIP dosyası indiren bir bağlantı yer alıyordu.

ZIP dosyasının içinde, fotoğraf dosyası gibi görünen bir kısayol bağlantı dosyası (LNK) bulunuyordu. Bu dosya, bir PowerShell betiği aracılığıyla TrojanSpy.JS.TONRESOLVER.A adlı kötü amaçlı yazılımı yüklüyordu. TrendAI araştırmacıları tarafından TONResolver olarak da adlandırılan bu yazılım, bir uzaktan erişim truva atı (RAT) olarak işlev görüyor ve saldırganlara ilk erişim ile komut yürütme yeteneği sağlıyor. Ardından kimlik bilgilerinin çalınması ve daha fazla sızma girişimleri gözlemlendi.

Kampanya ağırlıklı olarak Japonya'daki otel ve konaklama işletmelerini hedef alsa da, Avusturya, Avustralya, Fransa, Almanya, Endonezya, İtalya, Hollanda, Rusya, Güney Kore, Türkiye, İngiltere ve ABD'deki Booking.com ortaklarına da İngilizce konulu e-postalar gönderildi. TrendAI'nin 29 Haziran'da yayınladığı rapora göre, Japon konaklama işletmeleri açık ara en büyük hedef konumunda. Saldırganlar, e-postaları göndermek için bir zamanlama aracı hizmetinin bildirim işlevini kullandı; bu sayede SPF, DKIM ve DMARC gibi alan adı doğrulama teknolojilerine dayalı geleneksel e-posta güvenlik kontrollerini aştılar.

Paylaş: