FR|EN
L'essentiel de la tech, chaque jour
FR|EN
Cybersécurité28 juin 2026· via Security Affairs

Campagne de phishing ciblant l’hôtellerie avec des plaintes clients truquées

Campagne de phishing ciblant l’hôtellerie avec des plaintes clients truquées

Image : Security Affairs

Depuis avril 2026, une campagne de phishing se faisant passer pour des plaintes de clients cible discrètement les employés de l’hôtellerie, installant un outil d’accès à distance nommé TonRAT sur les appareils compromis. Les courriels, envoyés sous le nom d’Booking Manager (via Calendly), alertent sur des problèmes comme des infestations de punaises ou des inspections sanitaires, mais leur véritable objectif est de tromper les systèmes de sécurité et d’inciter le personnel à exécuter du code malveillant.

Une chaîne de diffusion à multiples couches

D’après Microsoft Threat Intelligence, les attaquants utilisent une technique appelée authentication laundering pour contourner les protections. Ils acheminent les courriels via le système de notifications de Calendly et le raccourcisseur d’URL de Google, contournant les vérifications d’authentification comme SPF, DKIM et DMARC. Les victimes sont ensuite redirigées vers quatre sauts successifs, aboutissant à un domaine Cloudflare récemment enregistré et protégé par un défi Turnstile. Ce défi sert à la fois de barrière anti-analyse et de filtre de géolocalisation avant la livraison du malware.

Obfuscation évolutive pour échapper aux détections

L’archive téléchargée contient un raccourci Windows qui lance un script PowerShell. Celui-ci utilise des opérations arithmétiques pour décoder une URL de téléchargement. En sept phases d’obfuscation distinctes, le script récupère un environnement d’exécution Node.js légitime et exécute un implant JavaScript suivi sous le nom de TonRAT, installé directement dans le dossier AppData de l’utilisateur. Lors d’une seconde vague, les attaquants ont ajouté une étape intermédiaire : la compilation à la volée d’une petite DLL .NET pour obscurcir davantage leurs activités. Malgré ces modifications, la logique centrale reste inchangée, suggérant que les opérateurs améliorent leur méthode plutôt que de changer de stratégie.

Source : Security Affairs. Synthèse éditoriale assistée par IA — TechnoExpress.

Lire la source originale sur Security Affairs →

← Retour à l'accueil