A Russian-speaking threat behind an ongoing, mass phishing campaign has registered more than 4,300 domain names since the start of the year. The activity, per Netcraft security researcher Andrew Brandt, is designed to target customers of the hospitality industry, specifically hotel guests who may have travel reservations with spam emails. The campaign is said to have begun in earnest around

ロシア語を話す脅威アクターが進行中の大規模フィッシングキャンペーンの一環として、今年初めから4,300以上のドメイン名を登録しています。 Netcraftのセキュリティ研究者アンドリュー・ブラントによると、この活動は、主にホスピタリティ業界の顧客、特に旅行予約を持つホテル宿泊客を標的とし、スパムメールを通じて攻撃を仕掛けています。このキャンペーンは2025年2月頃から本格的に始まったとされています。 攻撃に関連する4,344のドメインのうち、「Booking」という名前を含むものが685件、次いで「Expedia」が18件、「Agoda」が13件、「Airbnb」が12件となっており、すべての主要な予約・レンタルプラットフォームを標的にしていることが示唆されています。 「この継続中のキャンペーンは、高度なフィッシングキットを使用しており、ターゲットが最初にウェブサイトにアクセスした際、URLパス内のユニークな文字列に基づいて表示されるページをカスタマイズします」とブラント氏は述べています。「カスタマイズには、AirbnbやBooking.comなど主要なオンライン旅行業界ブランドのロゴが使用されています。」 攻撃は、受信者に対して24時間以内にクレジットカードを使って予約を確認するよう促すフィッシングメールから始まります。これに騙されてリンクをクリックすると、被害者は一連のリダイレクトの後、偽サイトに誘導されます。これらの偽サイトは、confirmation、booking、guestcheck、cardverify、reservationなど、正規性を装うフレーズを含む一貫したドメイン名パターンを持っています。 ページは43の異なる言語に対応しており、脅威アクターが広範囲にわたって攻撃を仕掛けられるようになっています。ページは被害者にホテル予約のためのデポジットを支払うよう指示し、カード情報の入力を求めます。AD_CODEと呼ばれるユニークな識別子なしで直接ページにアクセスしようとすると、空白のページが表示されます。偽サイトにはCloudflareを模倣した偽のCAPTCHAチェックも搭載され、ターゲットを欺きます。 「最初の訪問後、AD_CODEの値がクッキーに書き込まれ、以降のページでも同じ偽装ブランドの外観が維持されます」とNetcraftは述べています。これはまた、URL内の「AD_CODE」値を変更することで、同じ予約プラットフォーム上の別のホテルを標的とするページが表示されることも意味します。 カード情報、期限、CVV番号が入力されると、ページはバックグラウンドでトランザクション処理を試みる一方、「サポートチャット」ウィンドウが画面に表示され、「クレジットカードの3Dセキュア認証を完了して偽予約を防ぐ」ための手順が案内されます。 このキャンペーンの背後にいる脅威グループの正体は不明ですが、ソースコードのコメントやデバッガ出力にロシア語が使われていることから、出自を示唆しているか、またはフィッシングキットのカスタマイズを希望する見込み顧客に合わせている可能性があります。 この情報公開は、Sekoiaがホスピタリティ業界を標的とした大規模フィッシングキャンペーンについて警告した数日後に行われました。このキャンペーンでは、ホテルマネージャーをClickFix風のページに誘導し、PureRATなどのマルウェアを使って認証情報を窃取、その後WhatsAppやメールでホテル顧客に予約情報を送り、リンクをクリックして予約を確認させる手口が使われています。 興味深いことに、フランスのサイバーセキュリティ企業が共有したインジケーターの一つ「guestverifiy5313-booking[.]com/67122859」は、脅威アクターが登録したドメインパターン（例：verifyguets71561-booking[.]com）と一致しており、これら2つの活動クラスターが関連している可能性を示唆しています。The Hacker NewsはNetcraftにコメントを求めており、返答があれば記事を更新します。 ここ数週間で、大規模なフィッシングキャンペーンがMicrosoft、Adobe、WeTransfer、FedEx、DHLなど複数のブランドを偽装し、HTML添付ファイルをメールで配布して認証情報を窃取する事例も発生しています。添付されたHTMLファイルを開くと偽のログインページが表示され、JavaScriptコードが被害者の入力した認証情報を攻撃者のTelegramボットに直接送信するとCybleは述べています。 このキャンペーンは主に中央・東ヨーロッパ、特にチェコ共和国、スロバキア、ハンガリー、ドイツの幅広い組織を標的としています。 「攻撃者は正規の顧客やビジネスパートナーを装い、見積もりや請求書確認を依頼するフィッシングメールを配信しています」と同社は指摘します。「この地域的な焦点は、地元企業、流通業者、政府関連組織、日常的にRFQやサプライヤーとのやり取りを行うホスピタリティ企業など、対象となる受信者ドメインから明らかです。」 さらに、フィッシングキットはイタリア最大級のウェブホスティングおよびITサービスプロバイダーであるAruba S.p.Aの顧客を標的とした大規模キャンペーンにも利用され、同様に機密データや支払い情報の窃取が試みられています。 このフィッシングキットは「効率性とステルス性を追求した完全自動化・多段階型プラットフォーム」であるとGroup-IBの研究者イヴァン・サリプール氏とフェデリコ・マラッツィ氏は述べています。「セキュリティスキャンを回避するためのCAPTCHAフィルタリング、信頼性を高めるための被害者データの自動入力、盗まれた認証情報や支払い情報をTelegramボットに送信する機能を備えています。すべての機能は、産業規模での認証情報窃取という単一の目的に奉仕しています。」 これらの発見は、地下経済におけるフィッシング・アズ・ア・サービス（PhaaS）の需要拡大を示しており、技術的な知識がほとんどない脅威アクターでも大規模な攻撃を実行できるようになっています。 「この特定のキットで観察された自動化は、フィッシングがどのようにシステム化され、展開が迅速化し、検知が困難になり、複製が容易になったかを示しています」とシンガポールの同社は付け加えています。「かつては技術的専門知識が必要だったものが、今や事前構築された自動化フレームワークを通じて大規模に実行できるようになっています。」 翻訳元:

Here’s a look at the most interesting products from the past week, featuring releases from Aura, Bitsight, Blumira, Cayosoft, Corelight, Netcraft, and Picus Security. Picus Security uses AI to turn threat intelligence into attack simulations Picus Security launched new AI-powered breach and attack simulation (BAS) capabilities within the Picus Security Validation Platform. This introduces a new level of speed and intelligence, enabling security teams to create and simulate complex attack scenarios, validate the effectiveness of …

the irony of this is that Perplexity is posting this one 🤣

Ahead of the October 15th tax deadline extension, Netcraft researchers discovered at least 850 newly registered domain names in September and October with phishing links that use tax refunds as a lure. Fast Facts:  Most of the websites are engineered to display in mobile browsers, meaning visitors typically arrive at the pages from smishing attacks targeting the messaging apps in their mobile phones.

Netcraft unveiled a new solution to help protect organizations’ customers from scam texts and phone calls that impersonate their brand. Netcraft’s Phone Scam Disruption automates the detection and takedown of fraudulent phone numbers used in impersonation scam campaigns, shutting down threats before they spread. Netcraft’s approach has resulted in a 99.8% success rate across more than 50,000 takedowns with several pilot customers. A common tactic involves threat actors repeatedly posting fake customer service phone numbers …

Netcraft, the world leader in cybercrime detection, disruption, and takedown services, protects companies online through constant innovation, extensive automation, and unique insight.

Discover how Netcraft's latest offering automates the takedown of fraudulent phone numbers, safeguarding organizations from escalating phone scams.