Siber tehdit aktörleri, Japonya'daki Booking.com ortak konaklama işletmelerinin çalışanlarını hedef alan bir phishing kampanyası başlattı. Saldırganlar, misafir şikayetleri ve inceleme taleplerini taklit eden e-postalar göndererek otel personelini kötü amaçlı dosyaları çalıştırmaya ikna ediyor. Bu yöntemle, konaklama sektöründe yaygın olarak kullanılan Booking.com platformu üzerinden zincirleme bir saldırı gerçekleştiriliyor.
Bu kampanyada kullanılan TONResolver adlı kötü amaçlı yazılım, The Open Network (TON) blockchain platformu üzerinde barındırılıyor. Blockchain teknolojisini kullanan bu yazılım, bir akıllı sözleşme aracılığıyla dağıtılıyor ve geleneksel güvenlik önlemlerini aşmayı başarıyor. TONResolver, ilk erişim ve komut yürütme aracı olarak işlev görüyor ve ardından kimlik bilgisi hırsızlığı ve daha fazla sızma için zemin hazırlıyor.
Saldırı, Trend Micro bünyesindeki TrendAI Research tarafından Mayıs 2026 sonunda tespit edildi. Japonca 'Önemli: Misafir Kalış İnceleme Talebi' konulu şüpheli e-postalar, Booking.com'un Japon ortak şirketlerine gönderildi. Bu e-postalar, hedefi saldırganla iletişime geçmeye teşvik ediyor. Ardından gönderilen ikinci e-postada, hem şüpheli bir web sitesine yönlendiren hem de bir ZIP dosyası indiren bir hiper bağlantı yer alıyordu.
Sonuç ve Değerlendirme
ZIP dosyasının içinde, fotoğraf dosyası gibi görünen bir kısayol bağlantı dosyası (LNK) bulunuyordu. Bu dosya, bir PowerShell betiği aracılığıyla TrojanSpy.JS.TONRESOLVER.A adlı uzaktan erişim truva atını (RAT) yüklüyor. TrendAI araştırmacıları bu yazılıma kısaca TONResolver adını verdi. TONResolver, kurban sistemine tam erişim sağlayarak saldırgana komut çalıştırma, dosya sızdırma ve ağda yanal hareket etme imkanı tanıyor.
Uzmanların Görüşleri
Saldırı yalnızca Japonya ile sınırlı kalmadı; Avusturya, Avustralya, Fransa, Almanya, Endonezya, İtalya, Hollanda, Rusya, Güney Kore, Türkiye, İngiltere ve ABD'deki Booking.com ortaklarına da İngilizce konulu e-postalar gönderildi. Ancak TrendAI'nin 29 Haziran tarihli raporuna göre, Japon konaklama işletmeleri açık ara en büyük hedef oldu. Bu durum, Japonya'nın turizm sektörünün büyüklüğü ve otel zincirlerinin siber güvenlik zafiyetleriyle ilişkilendiriliyor.
Teknik Analiz
Saldırganlar, e-postaları göndermek için bir planlama aracının bildirim işlevini kullandı. Bu sayede, Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) ve Domain-based Message Authentication, Reporting, and Conformance (DMARC) gibi alan adı doğrulama teknolojilerine dayalı geleneksel e-posta güvenlik kontrollerini atlattılar. Bu yöntem, phishing saldırılarının tespitini zorlaştırarak başarı oranını artırıyor.
Bu saldırı, blockchain teknolojisinin yalnızca finansal işlemlerde değil, siber suçlarda da kullanılabileceğini gösteriyor. Otel işletmeleri, çalışanlarını bu tür sofistike saldırılara karşı eğitmeli ve e-posta güvenlik önlemlerini blockchain tabanlı tehditleri de kapsayacak şekilde güncellemelidir. Ayrıca, Booking.com gibi platformların ortaklarına yönelik ek güvenlik katmanları sağlaması kritik önem taşıyor.
Kaynak: infosecurity-magazine.com