Campanha de phishing se infiltra em parceiros do Booking.com e leva hóspedes a pagar a mesma reserva duas vezes

Uma operação de phishing em larga escala tem explorado contas de parceiros do Booking.com desde, pelo menos, abril de 2025, comprometendo sistemas de hotéis, expondo dados de clientes e levando viajantes a pagar a mesma reserva duas vezes. A investigação foi conduzida pela empresa de segurança Sekoia.io, que detalhou como cibercriminosos obtêm credenciais de funcionários, enviam mensagens convincentes aos hóspedes e utilizam páginas que imitam plataformas de hospedagem para recolher pagamentos fraudulentos.

Quem são os alvos e quem conduz o ataque

Os alvos principais da campanha são duas frentes distintas. De um lado, funcionários de hotéis que mantêm contas de gestão nas plataformas de reserva, entre elas Booking.com, Airbnb, Expedia e, mais recentemente, Agoda. Do outro, hóspedes que concluem reservas legítimas e recebem comunicações aparentemente oficiais. Do ponto de vista dos invasores, o objetivo imediato é obter credenciais de acesso aos perfis corporativos dos estabelecimentos; em seguida, esses mesmos dados permitem fraudes diretas contra os viajantes que já confirmaram hospedagem.

Quando e onde a campanha ganhou fôlego

Segundo o levantamento da Sekoia.io, os primeiros indícios de atividades maliciosas remontam a abril de 2025. Desde então, a infraestrutura criminosa manteve centenas de domínios ativos durante meses, distribuídos em serviços protegidos pela Cloudflare e vinculados a servidores localizados na Rússia. A combinação garante anonimato aos operadores e dificulta a remoção coordenada dos recursos empregados no golpe.

Como o comprometimento inicial ocorre

O ponto de entrada da campanha começa em mensagens enviadas a endereços corporativos de hotéis. Esses e-mails partem, muitas vezes, de contas legítimas previamente invadidas ou utilizam técnicas de spoofing para simular remetentes confiáveis. Cada mensagem contém um link que conduz o destinatário por uma cadeia de redirecionamentos. No estágio final, a vítima é exposta à técnica de engenharia social conhecida como ClickFix, que solicita a execução de um comando PowerShell.

Ao aceitar a execução, o funcionário baixa e instala o malware PureRAT. O trojan concede controle remoto total sobre a máquina comprometida, permite captura de tela, exfiltra dados sensíveis e rouba credenciais armazenadas nos navegadores ou em aplicativos de gerenciamento de reservas. Além disso, possui arquitetura modular para que novos plugins ampliem funcionalidades sob demanda.

Exploração das credenciais obtidas

De posse dos logins de parceiros do Booking.com ou de plataformas semelhantes, os criminosos seguem dois caminhos. No primeiro, vendem as credenciais em fóruns clandestinos de língua russa. A Sekoia.io identificou valores que variam de US$ 5 a US$ 5 000, dependendo do nível de privilégio e do potencial financeiro da conta. Um usuário identificado como “moderator_booking” alegou ter lucrado mais de US$ 20 milhões com esse comércio ilícito.

No segundo caminho, os operadores utilizam diretamente os acessos para enganar hóspedes. Com as informações legítimas sobre reserva — datas, número de confirmações e valores — os golpistas enviam e-mails ou mensagens via WhatsApp informando um suposto problema de verificação bancária. A legitimidade dos detalhes reduz a desconfiança das vítimas, que clicam no link fornecido na comunicação.

Engenharia social aplicada aos hóspedes

Ao abrir o link, o hóspede é direcionado a uma página que replica com fidelidade a interface do Booking.com. O formulário solicita informações de cartão de crédito sob o argumento de confirmar a reserva. Quando a vítima conclui o procedimento, os dados são enviados diretamente ao servidor controlado pelos atacantes, e a transação é processada em favor do esquema fraudulento. Posteriormente, o valor original da estadia também é cobrado pelo hotel, levando a um pagamento duplicado: um ao estabelecimento, outro ao criminoso.

Estrutura técnica: domínios, proteção e origem

A Sekoia.io mapeou uma malha de domínios registrada, mantida e rotacionada ao longo de meses. Esses domínios são configurados atrás de serviços de proxy reverso e mitigação de ataques distribuídos, como a Cloudflare, o que mascara a localização real dos servidores e confere resiliência. A conexão com infraestrutura russa surgiu a partir de análises de endereços IP que, em vários casos, apontavam para sistemas alojados nesse país.

Impacto financeiro para hóspedes e hotéis

O efeito imediato para os viajantes envolve a saída de valores não previstos do cartão de crédito, geralmente identificada apenas no fechamento da fatura. Já para os hotéis, o cenário inclui reclamações de clientes, aumento de pedidos de estorno e, principalmente, exposição de credenciais internas. A Sekoia.io registrou episódios em que hóspedes tiveram de arcar com duas cobranças completas da mesma reserva, evidenciando dano financeiro direto.

Mercado clandestino de dados de reserva

Fóruns de língua russa se converteram em ponto central de distribuição de cookies de autenticação e pares de login e senha. O preço relativamente baixo para credenciais consideradas simples gera um fluxo constante de compradores, enquanto contas associadas a grandes cadeias de hotéis alcançam cifras mais elevadas. As informações movimentadas incluem não apenas logins administrativos, mas também dados pessoais de hóspedes, que podem ser reutilizados em esquemas de phishing direcionado.

Expansão do alvo para outras plataformas

Além do Booking.com, relatos colhidos pela Sekoia.io indicam tentativas bem-sucedidas de invasão a perfis corporativos da Agoda. A diversificação demonstra amadurecimento da operação, que busca ampliar alcance e maximizar ganhos em diferentes canais de reserva on-line. Plataformas como Expedia e Airbnb também foram mencionadas como potenciais vítimas no relatório técnico.

Escala e resiliência da campanha

O conjunto de evidências reunidas aponta para uma campanha resiliente e lucrativa. A manutenção de domínios por períodos prolongados, a proteção contra derrubada rápida e a adoção de malware modular sugerem que os operadores dispõem de recursos técnicos e financeiros significativos. A empresa de segurança afirmou manter vigilância contínua sobre a infraestrutura adversária, a fim de aperfeiçoar mecanismos de detecção e fornecer indicadores de comprometimento às plataformas visadas.

O que a investigação já confirmou

Entre abril de 2025 e outubro de 2025, ao menos centenas de domínios maliciosos permaneceram ativos. O PureRAT foi o principal agente de infecção, instalado por intermédio de comandos PowerShell disparados após a etapa de ClickFix. As mensagens fraudulentas mostraram-se eficazes tanto para capturar credenciais de funcionários quanto para convencer hóspedes a inserir dados de pagamento em sites clonados. A sobreposição de métodos permitiu que a mesma operação lucrasse em diversas fases do ciclo de reserva, desde a aquisição de acessos privilegiados até a cobrança indevida de valores em cartão.

Perspectivas de mitigação

A Sekoia.io, responsável pelo detalhamento da ameaça, prossegue no monitoramento dos domínios identificados e na elaboração de assinaturas que bloqueiem o PureRAT em gateways corporativos. Hotéis e demais parceiros de reservas são aconselhados a revisar rotinas de autenticação, implementar fatores múltiplos de verificação e instruir equipes sobre os riscos de executar comandos externos. Para os viajantes, a recomendação principal é nunca realizar pagamentos adicionais fora do ambiente oficial de reserva e desconfiar de qualquer solicitação emergencial enviada por e-mail ou aplicativo de mensagens.

Até o momento, relatos confirmados demonstram que o golpe já resultou em pagamentos duplicados e prejuízos diretos para hóspedes, enquanto o comércio de credenciais de alto valor segue ativo em fóruns clandestinos.