Siber tehdit aktörleri, Japonya'daki Booking.com ortak konaklama tesislerinin çalışanlarını hedef alan yeni bir kimlik avı kampanyası başlattı. Trend Micro araştırma birimi TrendAI tarafından Mayıs 2026 sonunda tespit edilen kampanyada, saldırganlar misafir şikayetlerini ve inceleme taleplerini taklit eden e-postalar kullanarak otel personelini kötü amaçlı dosyaları çalıştırmaya ikna ediyor. Özellikle Japon otel zincirlerini hedef alan saldırı, küresel ölçekte de birçok ülkedeki Booking.com ortaklarına yayılmış durumda.
Saldırıda kullanılan TONResolver adlı kötü amaçlı yazılım, The Open Network (TON) blokzinciri platformu üzerinde barındırılıyor. Bu, siber suçluların blokzinciri teknolojisini kötü amaçlı yazılım dağıtmak için kullandığı nadir örneklerden biri. TONResolver, bir akıllı sözleşme üzerinde barındırılarak saldırganlara ilk erişim ve komut yürütme yeteneği sağlıyor. TrendAI araştırmacıları, bu yazılımın bir uzaktan erişim truva atı (RAT) olarak işlev gördüğünü ve kimlik bilgilerini çalma potansiyeline sahip olduğunu belirtiyor.
Kampanya kapsamında gönderilen e-postaların konu satırı Japonca olarak 'Önemli: Misafir İnceleme Talebi' şeklindeydi. İlk e-posta, hedefi saldırganla iletişime geçmeye teşvik ediyor. Ardından gelen takip e-postaları, hem şüpheli bir web sitesine yönlendiren hem de bir ZIP dosyası indiren bir hiper bağlantı içeriyor. ZIP dosyasının içinde, fotoğraf dosyası gibi görünen bir kısayol bağlantı dosyası (LNK) bulunuyor. Bu LNK dosyası, bir PowerShell betiği aracılığıyla TrojanSpy.JS.TONRESOLVER.A adlı kötü amaçlı yazılımı yüklüyor.
Önemli Gelişmeler
Saldırganlar, farklı konu satırlarıyla (bazıları İngilizce) Japonya dışında Avusturya, Avustralya, Fransa, Almanya, Endonezya, İtalya, Hollanda, Rusya, Güney Kore, Türkiye, İngiltere ve ABD'deki Booking.com ortaklarına da e-postalar gönderdi. Ancak TrendAI raporuna göre, Japon otel işletmeleri açık ara en büyük hedef oldu. Saldırının başarısının ardında, e-postaların bir zamanlama aracı hizmetinin bildirim işlevi kullanılarak gönderilmesi yatıyor. Bu sayede SPF, DKIM ve DMARC gibi geleneksel e-posta güvenlik kontrolleri atlatılabiliyor.
TONResolver'ın blokzinciri üzerinde barındırılması, kötü amaçlı yazılımın tespit edilmesini ve kaldırılmasını zorlaştırıyor. Blokzinciri teknolojisinin merkeziyetsiz yapısı, saldırganlara içeriklerini kolayca güncelleme ve dağıtma imkanı veriyor. Ayrıca, akıllı sözleşmeler üzerinde barındırılan yazılımlar, geleneksel güvenlik çözümleri tarafından kolayca engellenemiyor. Bu, siber güvenlik uzmanları için yeni bir tehdit vektörü oluşturuyor.
Booking.com ortakları, özellikle Japonya'daki oteller, bu tür kimlik avı saldırılarına karşı dikkatli olmalı. Şüpheli e-postalardaki bağlantılara tıklamamak ve ekleri açmamak en önemli önlemler arasında. Ayrıca, e-posta güvenlik çözümlerinin güncellenmesi ve çalışanların siber güvenlik farkındalığının artırılması gerekiyor. Trend Micro, bu kampanyayı tespit ederek gerekli uyarıları yapmış olsa da, benzer saldırıların gelecekte artabileceği tahmin ediliyor.
Kaynak: infosecurity-magazine.com