Uma nova vaga de ciberataques está a atingir utilizadores de plataformas de reservas online como Booking.com, Airbnb e Expedia, explorando vulnerabilidades nos sistemas informáticos de hotéis parceiros. A campanha, identificada por especialistas da Sekoia.io, está ativa pelo menos desde abril e já levou vários clientes a pagar o dobro pelas suas reservas, depois de serem enganados por mensagens que parecem totalmente legítimas.
Segundo o relatório divulgado pela Sekoia.io, o ataque baseia-se numa técnica de phishing altamente convincente, em que os criminosos enviam emails provenientes de contas reais de hotéis ou do próprio Booking. Estas contas terão sido previamente comprometidas, permitindo aos atacantes aceder a detalhes verdadeiros das reservas e usá-los para dar credibilidade ao golpe.
Como funciona o ataque
O esquema começa quando o cliente recebe um email que aparenta ser uma comunicação oficial do Booking.com ou do hotel onde fez a reserva. A mensagem inclui dados verídicos — como datas, nomes, valores ou números de confirmação — o que reduz a suspeita inicial.
No entanto, o email contém um link malicioso que solicita uma suposta “verificação bancária”. Ao clicar, o utilizador é encaminhado para uma página falsa que imita o interface do Booking. Após vários redirecionamentos, a vítima é induzida a executar um comando PowerShell que instala automaticamente o trojan PureRAT.
Com este malware, os cibercriminosos conseguem controlar remotamente o dispositivo infetado, recolher credenciais sensíveis, capturar ecrãs e utilizar plugins adicionais para expandir o acesso aos dados pessoais.
Ataques começam nos hotéis e espalham-se para outras plataformas
Durante a investigação, a Sekoia.io concluiu que os primeiros alvos eram, na verdade, os funcionários dos hotéis parceiros. Uma vez comprometidas as credenciais internas, os criminosos conseguiam aceder aos painéis de gestão das reservas e aos dados dos clientes. Isto abriu caminho para ataques semelhantes aplicados noutros serviços de alojamento, incluindo Airbnb e Expedia.
Com as informações dos hóspedes em mãos, os hackers avançavam depois para o contacto direto com as vítimas. Os relatos apontam para vários casos em que os clientes foram forçados a efetuar um segundo pagamento — adicional ao valor oficial da reserva já pago na plataforma — acreditando tratar-se de uma obrigação legítima comunicada pelo hotel ou pela agência de viagens online.
Dados roubados estão a ser vendidos em fóruns clandestinos
Além dos esquemas de fraude financeira, o relatório da Sekoia.io indica ainda que as credenciais recolhidas através dos ataques estão a ser comercializadas em fóruns de cibercrime. Os dados são distribuídos em lotes que podem ser adquiridos por qualquer utilizador destes mercados ilegais, perpetuando a circulação de informações pessoais comprometidas.
Os especialistas alertam que o impacto pode ser muito mais profundo do que o pagamento duplicado: contas de email, dados bancários, acessos a plataformas de reservas e até sistemas internos de hotéis podem permanecer sob risco enquanto as credenciais circularem entre criminosos.
