.gif)
Эксперты «Лаборатории Касперского» обнаружили вредоносную кампанию, которая ставит под угрозу данные банковских карт, хранящиеся в информационных системах отелей, а также получаемые ими от сетевых турагентств, таких как Booking.com. Известно, что атакованы не менее 20 брендов отелей в Бразилии, Аргентине, Боливии, Чили, Коста-Рике, Франции, Италии, Мексике, Португалии, Испании, Таиланде и Турции.
Для сбора информации из буферов обмена, устройств для вывода на печать и скриншотов документов злоумышленники используют троянские программы удаленного администрирования, которые распространяются через вредоносные вложения в фишинговых письмах (Word, Excel, PDF). Некоторые из них эксплуатируют проблему CVE-2017-0199, а также скрипты VBS и PowerShell, загружая и устанавливая на целевую машину настроенные версии RevengeRAT, NjRAT, NanoCoreRAT, 888 RAT и другую кастомную малварь вроде ProCC.
Такие письма, имитирующие официальные запросы на групповую бронь от реальных людей из реальных компаний, выглядят весьма убедительно, в них включены копии официальных документов и подробные разъяснения причин, по которым был выбран именно этот отель. Единственное, что выдает истинную цель злоумышленников, — ошибки в написании домена компании.
Хакеры не только сами используют удаленный доступ к зараженным компьютерам, но и продают его на андеграундных форумах. Так, злоумышленники стремятся скомпрометировать машины на стойке регистрации, чтобы получить учетные данные к ПО для администрирования отеля, а также получают возможность воровать банковские карты.
Сообщается, что в данной кампании участвуют несколько хакерских группировок, и экспертам точно известно как минимум о двух — RevengeHotels и ProCC. Данная кампания активна как минимум с 2015 года, но в 2019 году ее активность заметно усилилась.
По данным Bit.ly, который использовался злоумышленниками для сокращения вредоносной ссылки, она распространялась и во многих других странах, помимо перечисленных выше, а значит, объем скомпрометированных данных может быть значительно больше.
Для сбора информации из буферов обмена, устройств для вывода на печать и скриншотов документов злоумышленники используют троянские программы удаленного администрирования, которые распространяются через вредоносные вложения в фишинговых письмах (Word, Excel, PDF). Некоторые из них эксплуатируют проблему CVE-2017-0199, а также скрипты VBS и PowerShell, загружая и устанавливая на целевую машину настроенные версии RevengeRAT, NjRAT, NanoCoreRAT, 888 RAT и другую кастомную малварь вроде ProCC.
Такие письма, имитирующие официальные запросы на групповую бронь от реальных людей из реальных компаний, выглядят весьма убедительно, в них включены копии официальных документов и подробные разъяснения причин, по которым был выбран именно этот отель. Единственное, что выдает истинную цель злоумышленников, — ошибки в написании домена компании.
Хакеры не только сами используют удаленный доступ к зараженным компьютерам, но и продают его на андеграундных форумах. Так, злоумышленники стремятся скомпрометировать машины на стойке регистрации, чтобы получить учетные данные к ПО для администрирования отеля, а также получают возможность воровать банковские карты.
Сообщается, что в данной кампании участвуют несколько хакерских группировок, и экспертам точно известно как минимум о двух — RevengeHotels и ProCC. Данная кампания активна как минимум с 2015 года, но в 2019 году ее активность заметно усилилась.
По данным Bit.ly, который использовался злоумышленниками для сокращения вредоносной ссылки, она распространялась и во многих других странах, помимо перечисленных выше, а значит, объем скомпрометированных данных может быть значительно больше.
