Los investigadores de seguridad de Kaspersky han publicado un nuevo informe que detalla una operación de malware de cibercrimen, denominado RevengeHotels, dirigido a hoteles, hostales, empresas de hospitalidad y turismo. La lista de víctimas incluye más de 20 hoteles ubicados en Brasil, Argentina, Bolivia, Chile, Costa Rica, Francia, Italia, México, Portugal, España, Tailandia y Turquía. El objetivo de la campaña es robar datos de tarjetas de huéspedes y viajeros gestionados por hoteles, así como datos de tarjetas de crédito recibidos de agencias de viajes populares en línea como Booking.com.
Los investigadores rastrearon dos grupos dirigidos al sector de la hospitalidad. Uno de ellos fue llamado RevengeHotels y el otro, ProCC. Si bien los actores de amenazas aprovechan una infraestructura, herramientas y técnicas separadas pero similares, ambos dependen en gran medida de la ingeniería social para llevar a cabo sus ataques.
En la campaña observada, los atacantes usaron correos electrónicos de phishing con documentos de Word, Excel o PDF adjuntos. En algunos casos, los atacantes explotaron CVE-2017-0199 para colocar versiones personalizadas de RevengeRAT, NjRAT, NanoCoreRAT, 888 RAT y otro malware personalizado como ProCC, en la máquina de destino.
Según el equipo de Kaspersky, los mensajes de phishing fueron bien escritos y detallados. Los atacantes también usaron dominios en cuclillas tipográficas para hacerse pasar por compañías reales, adjuntando a los mensajes documentos legales de búsqueda convincente.
“En la campaña RevengeHotels, los archivos descargados son archivos binarios .NET protegidos con Yoda Obfuscator. Después de desempacarlos, el código es reconocible como RAT RevengeRAT comercial ”, escribieron los investigadores.
Los expertos también encontraron un módulo adicional llamado ScreenBooking diseñado para capturar datos de tarjetas de crédito al monitorear si el usuario está navegando por la página web. Los archivos descargados en los ataques observados en 2016 se dividieron en dos módulos, una puerta trasera y un módulo para capturar capturas de pantalla. Con el tiempo, estos módulos se fusionaron en un solo módulo de puerta trasera que puede recopilar datos del portapapeles y capturar capturas de pantalla.
El actor de amenazas de ProCC utiliza una puerta trasera que está más personalizada que la utilizada por RevengeHotels. Fue desarrollado desde cero y tiene la cantidad de funciones, incluida la capacidad de recopilar datos del portapapeles y la cola de impresión, y capturar capturas de pantalla.
"Debido a que el personal a cargo de confirmar las reservas generalmente necesita extraer los datos de la tarjeta de crédito de los sitios web de la OTA, es posible recopilar los números de tarjeta monitoreando el portapapeles y los documentos enviados a la impresora", explicó Kaspersky en su informe.
“RevengeHotels es una campaña que ha estado activa desde al menos 2015, que revela diferentes grupos que usan malware RAT tradicional para infectar a empresas en el sector de la hospitalidad. Si bien existe un marcado interés en las víctimas brasileñas, nuestra telemetría muestra que su alcance se ha extendido a otros países de América Latina y más allá ”, concluye el artículo.
https://securelist.com/revengehotels/95229/
https://www.cybersecurity-help.cz/blog/799.html
