Une nouvelle campagne de phishing Booking.com vise d’abord les hôtels, puis leurs clients. Sekoia.io décortique “I Paid Twice”, une fraude ingénierisée qui transforme des identifiants volés en paiements illicites.
L’équipe TDR de Sekoia.io publie une enquête fouillée sur une fraude qui ronge discrètement l’industrie touristique. Baptisée “I Paid Twice”, la campagne exploite la confiance accordée aux marques de réservation pour piéger d’abord les hôtels, puis leurs clients. Derrière un vernis très professionnel, les attaquants ont recours à une combinaison de hameçonnage ciblé, d’ingénierie sociale « ClickFix » et de malware à la demande. Ils transforment ensuite les identifiants dérobés en virements bancaires bien réels.
Des hôtels aux voyageurs : un enchaînement parfaitement huilé
Le point d’entrée, ce sont des courriels envoyés depuis des comptes professionnels compromis et reproduisant l’identité visuelle de Booking.com. Ces messages affichent des objets crédibles comme « New last-minute booking », « New guest message », etc. Le lien intégré mène vers une page aux couleurs de l’extranet hôtelier où un faux reCAPTCHA “ClickFix” pousse l’administrateur à copier-coller une commande PowerShell.
« En un geste censé “débloquer” l’accès, la machine se retrouve sous contrôle », résume un analyste de Sekoia.io. À l’exécution, un enchaînement fileless déploie PureRAT en mémoire via AddInProcess32.exe. Il assure la persistance par la clé Run et notifie un C2. Les identifiants extranet obtenus ouvrent ensuite la voie à des messages adressés directement aux clients, enrichis de leurs vraies données de réservation.
ClickFix, PureRAT et une chaîne technique pensée pour durer
L’infrastructure est cloisonnée et redondante. Des domaines éphémères redirigent vers une page HTTP minimaliste qui bascule aussitôt vers l’URL ClickFix. Le script renvoie systématiquement une commande PowerShell même à un user-agent iOS. C’est le signe d’un ciblage prioritaire de Windows. Le dropper récupère une archive sur un site légitime compromis, décompresse un exécutable et des DLL, puis déclenche un chargement réflexif du malware.
PureRAT, vendu en modèle MaaS par PureCoder, propose bureau à distance, keylogging, exfiltration et modules à la carte. Le trafic sortant transite sur TLS est souvent via les ports 56001–56003, tandis que le code est obfusqué (.NET Reactor). Cela rend l’analyse plus complexe. Côté défense, Sekoia.io identifie des opportunités de détection liées aux invocations PowerShell et à la création de fichiers .lnk au démarrage. L’équipe signale également des anomalies réseau et des certificats affectés par AddInProcess32.exe.
Une économie souterraine très professionnelle, des pertes bien concrètes
Le succès de “I Paid Twice” tient aussi à l’industrialisation du crime. Depuis 2022, des forums russophones vendent des « logs » d’accès à l’extranet Booking.com, aux prix qui varient de quelques dollars à 5 000 $ pour les comptes à fort volume. Ils recrutent aussi des « traffers » pour injecter le malware ou acheminer le trafic. Les accès hôteliers conquis sont ensuite monétisés par du phishing bancaire hyper ciblé, parfois via WhatsApp. Les pages de collecte, protégées par Cloudflare et hébergées derrière un ASN russe (AS216341), imitent finement la typographie de Booking.com et, plus récemment, d’Expedia.
« Nous avons une forte confiance qu’une partie des victimes règle deux fois sa chambre : à l’hôtel, puis au cybercriminel », écrivent les chercheurs. La campagne a été observée au moins d’avril à octobre 2025. Cela montre la montée en puissance de la fraude “as-a-service” appliquée au voyage. Pour les hôtels, l’urgence est double. Il faut durcir l’hygiène autour de PowerShell et de l’extranet et préparer des réponses rapides quand les clients signalent des demandes de vérification bancaire inhabituelles.
Article basé sur un communiqué de presse reçu par la rédaction.
