Siga o Olhar Digital no Google Discover
Uma campanha de phishing em larga escala que explora contas de parceiros do Booking.com tem comprometido sistemas de hotéis e dados de clientes, segundo relatório da empresa de segurança Sekoia.io.
O esquema, ativo desde pelo menos abril de 2025, faz vítimas realizarem pagamentos duplos — ao hotel e ao criminoso — após a obtenção de credenciais e o uso de páginas falsas que imitam plataformas de reserva.
Ataque em poucas linhas
- Pesquisadores da Sekoia.io identificaram uma operação criminosa que começou com o envio de e-mails maliciosos originados de contas legítimas de hotéis ou de mensagens que se faziam passar pelo Booking.com;
- Cada mensagem continha um link que levava a vítima por uma cadeia de redirecionamentos antes de acionar a tática de engenharia social conhecida como ClickFix;
- Ao seguir o fluxo, a vítima era induzida a executar um comando PowerShell que baixava um malware identificado como PureRAT;
- O trojan permite que os invasores controlem remotamente as máquinas infectadas, roubem credenciais, capturem telas e exfiltrem dados sensíveis — além de possuir uma arquitetura modular que possibilita inclusão de plugins para ampliar funcionalidades.
Como as fraudes se desenvolviam
Analistas acreditam que o ataque inicial mirava funcionários de hotéis para roubar credenciais de plataformas de reserva, como Booking.com, Airbnb e Expedia. Com esses dados, os criminosos ou vendiam as credenciais em fóruns de crime cibernético, ou as utilizavam diretamente em esquemas fraudulentos.
Com acesso às credenciais de parceiros, os atacantes passaram a contatar hóspedes por e-mail ou WhatsApp alegando problemas com uma suposta verificação bancária.
As mensagens incluíam detalhes reais da reserva, o que aumentava a credibilidade do golpe, e direcionavam as vítimas a páginas falsas do Booking.com projetadas para colher informações de pagamento. Essas páginas foram hospedadas atrás de proteção da Cloudflare e tinham infraestrutura ligada à Rússia, segundo o relatório.
Leia mais:
- Não caia nestes 5 golpes com IA! Veja como se proteger
- Não caia nesses golpes! 10 armadilhas online mais comuns para idosos
- Golpe financeiro: o que fazer se cair em um?
Comércio de credenciais e dimensão financeira
A Sekoia.io observou um mercado ativo de credenciais do Booking.com em fóruns de língua russa. Os detalhes de acesso eram vendidos como cookies de autenticação ou pares de login e senha, com preços variando entre US$ 5 (R$ 26,37, na conversão direta) e US$ 5 mil (R$ 26,3 mil), conforme o valor percebido da conta. Um usuário identificado como “moderator_booking” teriam alegado ter obtido mais de US$ 20 milhões (R$ 105,4 milhões) em lucros, segundo o Infosecurity Magazine.
Os investigadores também registraram expansão das operações para incluir contas da Agoda, indicando uma profissionalização crescente do crime cibernético voltado ao setor de hospitalidade.
Segundo a Sekoia.io, há relatos de vítimas que foram obrigadas a pagar duas vezes pela mesma reserva, reafirmando o impacto financeiro direto sobre hóspedes enganados pelo esquema. “Avaliamos com alto grau de certeza que o cliente vítima desse esquema fraudulento pagou duas vezes pela reserva: uma vez ao hotel e outra ao cibercriminoso,” escreveu a Sekoia.io.
A empresa acrescentou ainda que a investigação revelou centenas de domínios maliciosos ativos por vários meses: “A análise da infraestrutura do adversário revelou centenas de domínios maliciosos ativos por vários meses até outubro de 2025, demonstrando uma campanha resiliente e provavelmente lucrativa.”
O relatório detalha a cadeia técnica do golpe: uso de contas legítimas ou spoofing de remetente para dar veracidade às mensagens; redirecionamentos que terminavam em páginas de engenharia social (ClickFix); solicitação de execução de comando PowerShell que instalava o PureRAT; e páginas falsas hospedadas com proteção Cloudflare e relacionadas a infraestrutura russa.
O PureRAT, por sua vez, oferecia ao atacante controle remoto total do dispositivo comprometido, incluindo roubo de credenciais por captura de tela e execução de módulos adicionais por meio de plugins.
A Sekoia.io afirmou ainda que continua monitorando a infraestrutura adversária e aperfeiçoando métodos de detecção para ajudar a proteger plataformas de reserva e seus clientes. No relatório, a empresa enfatiza a resiliência e a provável lucratividade da campanha, devido à existência de centenas de domínios maliciosos ativos por meses.
O que dizem as citadas
O Olhar Digital pediu às empresas citadas — Booking.com, Expedia e AirBnb — e aguarda retorno.
