Клиент всегда прав, особенно если пишет взломщик. Партнёров Booking.com заражают через жалобы на проживание

5826
Клиент всегда прав, особенно если пишет взломщик. Партнёров Booking.com заражают через жалобы на проживание

Сотрудники отелей сами открывают путь вредоносному коду в корпоративную сеть.

image

Гостиничные жалобы часто требуют быстрой реакции, и именно на такой спешке сыграли злоумышленники, атаковавшие партнёров Booking.com в Японии через письма от имени гостей. Сотрудникам отелей рассылали сообщения о претензиях к проживанию и просили открыть фотографии или материалы по жалобе, после чего запускалась цепочка заражения TONResolver.

Эксперты Trend Micro заметили атаки в конце мая 2026 года. Письма приходили в виде массового фишинга и через более аккуратную схему с Gmail. Во втором случае злоумышленник сначала писал обычный запрос без ссылки, ждал ответа от сотрудника гостиницы и только затем отправлял вредоносный адрес. Такой подход помогал снизить подозрения перед передачей файла.

Заражение начиналось после перехода по ссылке и загрузки ZIP-архива. Внутри находился ярлык LNK, замаскированный под изображение. После запуска ярлык выполнял команду PowerShell, загружал следующий сценарий, скрыто разворачивал Node.js и запускал JavaScript-вредонос TONResolver на заражённом компьютере.

Главная особенность TONResolver связана с управлением сервером. Вредонос не хранит адрес командного сервера прямо в коде, а получает его через смарт-контракт в блокчейне TON. Если действующий сервер блокируют, атакующие записывают новый адрес в контракт, а заражённые системы автоматически начинают обращаться уже к нему. Такая схема усложняет анализ и мешает быстро оборвать связь.

После запуска TONResolver закрепляется в системе через раздел автозагрузки Windows, отправляет данные о компьютере, имени пользователя, хосте, системе, памяти, процессоре и MAC-адресе, а затем каждые 20 секунд поддерживает соединение с командным сервером. Сам по себе обнаруженный запуск не означал немедленную кражу файлов, но давал операторам возможность выполнять команды, загружать дополнительные файлы и запускать PowerShell.

В одном из наблюдавшихся продолжений атаки с заражённого процесса Node.js был загружен исполняемый файл, который обращался к данным Google Chrome и Microsoft Edge. В этих каталогах хранятся пароли, cookies, история, автозаполнение и закладки, поэтому специалисты связали активность с попыткой кражи учётных данных.

Для снижения риска организациям рекомендуют ограничить доступ рабочих станций к TON и TonAPI, если такие сервисы не нужны для работы, фильтровать внешние соединения PowerShell, отслеживать подозрительный запуск Node.js из пользовательских каталогов и пересмотреть процедуры реагирования на инциденты в компаниях, которые работают с Booking.com.