RevengeHotels——一个以酒店、连锁餐厅和旅游服务性企业为攻击目标的网络犯罪活动。
Kaspersky的安全专家发布了一份针对于网络犯罪恶意软件活动“ RevengeHotels”的报告,这个活动以酒店、连锁餐厅和旅游公司为攻击目标。专家称,相关网络罪犯自2015年以来一直很活跃,其活动在2019年达到顶峰。
该组织主要在巴西活动,专家证实该组织已攻击过数十家酒店。Kaspersky报道了巴西的 8各州的受害者,还有一些受害者分布在阿根廷,玻利维亚,智利,哥斯达黎加,法国,意大利,墨西哥,葡萄牙,西班牙,泰国和土耳其。
Kaspersky发表的一篇文章写道:“ RevengeHotels是一起针对酒店,连锁餐厅和旅游公司的网络犯罪恶意软件活动,活动地点以巴西为主但不限于巴西。我们已经确定有20多家酒店受到过该组织的攻击,这些酒店主要分布在巴西,还有一部分在其他国家。”
这个网络犯罪团伙的目的是窃取酒店顾客和旅行者的信用卡数据,以及从Booking.com等热门在线旅行社收到的信用卡数据。
攻击者利用 武器化Word,Excel或PDF文档作为附件进行鱼叉式网络钓鱼活动。在某些情况下,攻击者使用CVE-2017-0199漏洞来交付RevengeRAT,NjRAT,NanoCoreRAT,888 RAT等定制版本。
网络钓鱼信息写得很好,攻击者经常使用错别字用于假冒真实公司的域名。
报告写道:“附件Reserva Advogados Associados.docx(authorneys Associates Reservation.docx)是一个恶意Word文件,该文件通过模板注入删除远程OLE对象以执行宏代码。远程OLE文档中的宏代码包含用于下载并执行最终有效负载的PowerShell命令。”
“在RevengeHotels广告系列中,下载的文件是受Yoda Obfuscator保护的.NET二进制文件。解压后,该代码可识别为商业RAT RevengeRAT。”
研究人员注意到,攻击者开发了一个名为ScreenBooking的附加模块,该模块通过监视用户是否在浏览网页来窃取信用卡数据。
在2016年发现的攻击中下载的文件分为两个模块:后门模块和截图模块。随着时间的推移,这些模块被合并到一个后门模块中,该模块能够从剪贴板收集数据并捕获屏幕截图。
Kaspersky还追踪了另一个组织的活动ProCC,该活动使用的后门比RevengeHotels使用的后门更加个性化。ProCC的黑客从零开始开发后门程序,该恶意代码能够从剪贴板和打印机后台处理程序收集数据,并捕获屏幕截图。
攻击者还将攻击重点放在酒店管理系统上,以获取凭证和支付卡数据。他们通过远程访问前台来赚取额外的服务收入。
报告说:“RevengeHotels是一项自2015年以来一直活跃的活动,它揭示了使用传统RAT恶意软件来感染酒店行业的不同群体。虽然他们一直主要针对于巴西,但我们的遥测显示,他们的影响范围已经扩大到拉丁美洲及其他国家。”
“如果您想有一个安全的旅行,我们建议您在通过在线旅行社预订时使用虚拟支付卡,因为这些卡通常在一次收费后就过期了。当您在预订酒店或退房时,最好使用虚拟钱包,如Apple Pay、Google Pay等。如果不能,也请使用次要或不太重要的信用卡,因为您永远不知道酒店的系统是否干净……。”
