Siber güvenlik araştırmacıları, Booking.com platformuna bağlı Japon otellerini hedef alan yeni bir kimlik avı kampanyası tespit etti. Saldırganlar, sahte misafir şikayetleri ve inceleme talepleri içeren e-postalar göndererek otel çalışanlarını kötücül dosyaları çalıştırmaya ikna ediyor. Bu kampanyada kullanılan TONResolver adlı kötücül yazılım, The Open Network (TON) blokzinciri platformu üzerinde barındırılıyor ve blockchain teknolojisini kullanarak tespit edilmeyi zorlaştırıyor.
Trend Micro bünyesindeki TrendAI Araştırma ekibi tarafından Mayıs 2026 sonunda keşfedilen kampanya, özellikle Japon konaklama sektörünü hedef alıyor. Saldırganlar, 'Önemli: Misafir Kalış İnceleme Talebi' başlıklı Japonca e-postalar göndererek mağdurları iletişime geçmeye teşvik ediyor. Daha sonra gönderilen e-postalarda, hem şüpheli bir web sitesine yönlendiren hem de ZIP dosyası indiren bir bağlantı yer alıyor.
ZIP dosyasının içinde, fotoğraf dosyası gibi görünen bir kısayol bağlantı dosyası (LNK) bulunuyor. Bu dosya, PowerShell betiği aracılığıyla TrojanSpy.JS.TONRESOLVER.A adlı bir truva atını yüklüyor. TrendAI araştırmacıları tarafından TONResolver olarak adlandırılan bu yazılım, uzaktan erişim truva atı (RAT) işlevi görüyor ve saldırganlara ilk erişim ile komut çalıştırma yeteneği sağlıyor. Ardından kimlik bilgisi hırsızlığı ve daha fazla sızma girişimleri gözlemleniyor.
Kampanya yalnızca Japonya ile sınırlı değil; Avusturya, Avustralya, Fransa, Almanya, Endonezya, İtalya, Hollanda, Rusya, Güney Kore, Türkiye, Birleşik Krallık ve ABD'deki Booking.com ortaklarına da İngilizce e-postalar gönderildi. Ancak TrendAI raporuna göre, hedeflerin büyük çoğunluğunu Japon otelleri oluşturuyor. Bu durum, Japonya'nın turizm sektörünün siber saldırganlar için cazip bir hedef olduğunu gösteriyor.
Sonuç ve Değerlendirme
Saldırganların kullandığı e-postalar, bir takvim planlama aracının bildirim işlevi üzerinden gönderildi. Bu sayede, SPF, DKIM ve DMARC gibi geleneksel e-posta güvenlik kontrollerini atlatmayı başardılar. Bu yöntem, meşru hizmetlerin kötüye kullanılmasıyla güvenlik önlemlerinin nasıl aşılabileceğinin çarpıcı bir örneği. Otel çalışanlarının, tanımadıkları göndericilerden gelen ekleri veya bağlantıları açmamaları büyük önem taşıyor.
Blokzincir tabanlı kötücül yazılımlar, merkeziyetsiz yapıları sayesinde tespit ve kaldırma işlemlerini zorlaştırıyor. TONResolver'ın akıllı sözleşme üzerinde barındırılması, saldırganlara kalıcı ve güncellenebilir bir altyapı sağlıyor. Otel işletmelerinin, çalışanlarını bu tür kimlik avı taktikleri konusunda eğitmesi ve e-posta güvenlik çözümlerini güncellemesi kritik öneme sahip. Ayrıca, Booking.com gibi platformların da ortaklarını bu tür tehditlere karşı bilinçlendirmesi gerekiyor.
Kaynak: infosecurity-magazine.com