Siber saldırganlar, Japonya'daki Booking.com ortak otellerini hedef alan yeni bir kimlik avı kampanyası başlattı. Trend Micro'nun araştırma birimi TrendAI tarafından tespit edilen kampanyada, otel çalışanlarına misafir şikayetleri ve yorum taleplerini taklit eden e-postalar gönderiliyor. E-postalar, çalışanları kötü amaçlı dosyaları çalıştırmaya ikna etmeyi amaçlıyor.
Bu kampanyada kullanılan TONResolver adlı zararlı yazılım, blockchain teknolojisinden yararlanıyor. Özellikle The Open Network (TON) blockchain platformu üzerinde barındırılan yazılım, bir akıllı sözleşme aracılığıyla yönetiliyor. Zararlı, ilk erişim ve komut çalıştırma için bir dayanak noktası oluştururken, ardından gelen faaliyetler kimlik bilgisi hırsızlığı ve daha fazla sızma potansiyeline işaret ediyor.
Saldırı e-postaları, "Önemli: Misafir Yorum İnceleme Talebi" konu başlığıyla Japonca olarak gönderiliyor. Hedef, saldırganla iletişime geçmeye teşvik ediliyor. Ardından gönderilen ikinci e-postada bir bağlantı ve ZIP dosyası bulunuyor. ZIP dosyasındaki kısayol bağlantı dosyası (LNK), fotoğraf gibi gizlenmiş ve PowerShell betiği aracılığıyla TrojanSpy.JS.TONRESOLVER.A adlı RAT'ı yüklüyor.
Japonya ana hedef olmakla birlikte, Avusturya, Avustralya, Fransa, Almanya, Endonezya, İtalya, Hollanda, Rusya, Güney Kore, Türkiye, İngiltere ve ABD'deki Booking.com ortaklarına da İngilizce e-postalar gönderildi. Saldırganlar, bir zamanlama aracı hizmetinin bildirim özelliğini kullanarak SPF, DKIM ve DMARC gibi geleneksel e-posta güvenlik kontrollerini atlatmayı başardı.