安全人员监测到大量针对酒店财务人员的钓鱼攻击

安全研究人员发现了一个恶意垃圾邮件的活动,这个活动是针对北美酒店业多个实体的财务人员,他们使用恶意附件将NetWiredRC远程访问木马(RAT)扔向毫无戒心的受害者。Malspam(恶意或恶意垃圾邮件的缩写)是一种垃圾邮件,目的是通过恶意url或受感染的附件发送恶意软件。这一恶意活动的运营商发出的垃圾邮件试图欺骗目标酒店员工,让他们打开一个伪装成发票的附件,以未付账单的形式详细列出欠款,并提供有关尚未付款的服务和商品的更多信息。

奇虎360安全中心的安全研究发现,这些附件被用于用NetWiredRC RAT病毒感染受害者的电脑,使攻击者能够获得未经授权的访问权限,远程控制受害者的电脑,并窃取其他信息。

借助PowerShell脚本将RAT放在目标机器上,该脚本将在执行.LNK文件后从http[:]//bit[.]do/e2VHR 下载,该文件在目标选项中会链接.LNK文件。

奇虎360的研究人员发现,NetWiredRC恶意软件一旦在一台被成功破解的电脑上启动,它就会将自己添加到电脑的自启动文件夹中,以实现持久性。

攻击者可以对感染NetWiredRC特洛伊木马的计算机执行各种操作,包括但不限于下载和执行额外的恶意软件的有效载荷,上传文件,模拟鼠标和键盘点击,开始新流程,采取截图,记录击键,偷凭证,收集和漏出系统和用户信息。如果它们保存在“IE,Comode Dragon,Yandex,Mozilla Firefox, Chrome,Chromium,Opera浏览器和OutLook,ThundBird,SeaMonkey和其他邮件客户端”中,登录凭据也可能被盗,详见奇虎的报告。

窃取酒店客户的数据是大多数针对酒店的网络攻击的共同特征,也是酒店实体的计算网络被黑客攻破后的预期结果。过去几年,有报道称,酒店客户的大量数据遭到入侵。

例如,2014年万豪酒店数据泄露事件曝光了约3.39亿份宾客记录,并于2018年11月公布,而中国最大的连锁酒店之一华数酒店集团有限公司(Huazhu Hotels Group ltd .)的另外1.3亿名宾客的个人信息在2018年8月的一个中国暗网论坛上被出售。

据了解,2018年6月,一名身份不明的威胁行动者还窃取了数百家酒店的付款卡和客人个人信息。此前,该行动者攻破了总部位于巴黎的FastBooking公司的系统,该公司销售来自100个国家的4000多家酒店预订软件。

早在2017年,正如网络安全公司FireEye发布的一份报告中详述的那样,俄罗斯网络间谍组织APT28在一次鱼叉式网络钓鱼活动中使用了ETERNALBLUE NSA漏洞,该活动向酒店和酒店业的其他几个组织分发恶意文件,并用GAMEFISH恶意软件感染它们。