Una nueva campaña de phishing surgió a fines de agosto de 2025 que se dirigió específicamente a hoteleros y gerentes de alquiler de vacaciones a través de anuncios de motores de búsqueda maliciosos.
En lugar de confiar en explosiones masivas de correo electrónico o señuelos de redes sociales, los atacantes compraron anuncios patrocinados en plataformas como Google Search, los nombres de proveedores de servicios legítimos para redirigir a los usuarios que no sientan.
Al imitar marcas como Siteminder y Roomraccoon, los adversarios aseguraron que sus dominios maliciosos aparecieran por encima de los listados auténticos, aumentando drásticamente la probabilidad de compromiso de las víctimas.
Ejemplo de malvertimiento que muestra dos sitios web falsos promocionados por encima de un dominio legítimo (fuente – Okta Security)
Una vez que una víctima hizo clic en un enlace patrocinado, se les presentó con portales de inicio de sesión falsos altamente convincentes.
Estas páginas replicaron la apariencia exacta de las plataformas establecidas de administración de propiedades y mensajes de invitados, completos con logotipos corporativos, campos de formularios para nombres de usuario, contraseñas e incluso indicaciones de autenticación de múltiples factores.
Los atacantes llegaron a implementar técnicas de ingeniería social que convencieron a los usuarios para divulgar contraseñas únicas enviadas por SMS o correo electrónico.
Al cosechar no solo credenciales estáticas sino también códigos OTP dinámicos, la campaña fue diseñada para un potencial de adquisición de cuenta máximo.
Analistas de seguridad de OKTA identificado Esta campaña después de observar un aumento repentino en el tráfico saliente de un gran proveedor de proxy de centro de datos ruso a múltiples dominios de hospitalidad.
El análisis del código fuente de la página de phishing reveló comentarios en idioma ruso y mensajes de error como “шибка запроса” (“Error de solicitud”), lo que indica posibles lazos con los actores de amenazas de habla rusa.
Además, los sitios de phishing emplearon scripts de baliza de JavaScript para rastrear las interacciones de los visitantes en tiempo real, recopilar datos de geolocalización, duración de la sesión y métricas de detección de bots.
Más allá de la fase de recolección de credenciales iniciales, los atacantes demostraron tácticas de persistencia sofisticadas. Al integrar las funciones de baliza, pudieron monitorear si las víctimas ingresaron credenciales correctas y OTP. A continuación aparece una versión simplificada de su mecanismo de baliza JavaScript a continuación:
Función sendRequest () {fetch (“/mksd95jld43”). Capt (error => console.error (“Error de solicitud”)); } // iniciar una solicitud cada 10 segundos de setInterval (sendRequest, 10,000); Phishing Pages (Fuente – Okta Security)
Esta solicitud en bucle cada diez segundos, asegurando la exfiltración de datos continuos cada vez que las víctimas interactúan con las páginas de phishing.
Mecanismo de infección
Profundizando más en el mecanismo de infección, la dependencia de la campaña en la malvertición lo distingue de las operaciones tradicionales de phishing.
En lugar de explotar las vulnerabilidades del navegador directamente, los atacantes armaron la publicidad del motor de búsqueda para envenenar el viaje del usuario desde el principio.
Al ofertar por palabras clave de alto valor, a menudo los nombres exactos de las plataformas de hospitalidad, los anuncios maliciosos aparecieron junto con resultados genuinos o superiores.
Las víctimas que buscan “Siteminder Login” o “Roomraccoon Channel Manager” en su lugar se encontrarían con URL como Siteminder.
Ejemplo de malvertimiento de la dirección de los usuarios a otro sitio de phishing (fuente – Okta Security)
Al aterrizar, las páginas de phishing iniciaron el Beacon JavaScript para confirmar la presencia de víctimas y capturar respuestas a los campos de formulario.
El código forzó las conexiones de salida periódica a los puntos finales de comando y control, asegurando que las credenciales y OTP se transmitieran de inmediato.
Además, los atacantes diseñaron los formularios de inicio de sesión para aceptar múltiples métodos de MFA (SMS, correo electrónico y aplicaciones de autenticador), por lo que maximizan sus posibilidades de evitar cualquier factor de defensa.
La detección de este mecanismo de infección requiere un monitoreo vigilante de campañas publicitarias y registros de dominio.
Las organizaciones deben implementar evaluaciones de riesgos adaptativos para marcar solicitudes repentinas de redes desconocidas e investigar rápidamente cualquier desviación de la actividad normal del usuario.
Al combinar la inteligencia de amenazas con el monitoreo en tiempo real de los ecosistemas de AD, los defensores pueden interrumpir esta sofisticada estrategia de phishing impulsada por malvertimiento antes de comprometer la infraestructura crítica de gestión hotelera.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
