 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
16 апреля, вторник, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
Киберпреступники устанавливают программы для кражи данных банковских карт на компьютеры отелей и их постояльцев.
Специалисты «Лаборатории Касперского» рассказали о криминальной кампании RevengeHotels, нацеленной на гостиничный сектор Бразилии и ряда других стран. По мнению экспертов, как минимум две преступные группировки охотятся за данными банковских карт гостей отелей, заражая как устройства постояльцев, так и компьютеры принимающей стороны.
Как выяснили ИБ-аналитики, злоумышленники широко используют в своих кампаниях тайпсквоттинг и методы социальной инженерии. Обычно атака начинается с электронного письма, к которому приложен документ с вредоносным OLE-объектом. Сообщения, отправленные в адрес отелей, содержат просьбу о резервировании большого количества номеров для реально существующей организации. Чтобы обмануть жертву, киберпреступники прикладывают к посланию выписку из государственного реестра легитимной компании, а само письмо отправляют с домена, очень похожего на официальный.
Если жертва открывает вредоносный файл, он загружает небольшой PowerShell-скрипт, который, в свою очередь, доставляет на устройство основную полезную нагрузку. Эксперты выявили две криминальные команды, использующие в своих кампаниях разные зловреды.
Группировка RevengeHotels устанавливает на целевые компьютеры исполняемый файл, созданный при помощи фреймворка .NET и упакованный программой Yoda Obfuscator. Как показало изучение исходного кода, в качестве зловреда выступает троян RevengeRAT уже засветившийся в криминальных кампаниях на Ближнем Востоке, в Америке и Европе.
В дополнение к бэкдору киберпреступники доставляют на машину вредоносный скрипт ScreenBooking, который отслеживает открытие определенных страниц в браузере и перехватывает данные банковских карт, введенные посетителем. Модуль способен работать с отельными агрегаторами, такими как booking.com, и проводить мониторинг данных на английском и португальском языках.
Вторая команда, получившая название ProCC, использует оригинальную программу, написанную на Delphi. Зловред способен перехватывать информацию из буфера обмена, а также копировать содержимое документов, отправленных на принтер.
По данным телеметрии «Лаборатории Касперского», большинство жертв кибератак находятся в Бразилии и других странах Южной и Центральной Америки. Сведения о заражениях поступали также из Испании, Португалии, Италии, Турции и Таиланда. Между тем, изучив статистку сервиса bit.ly, применяемого для сокращения вредоносных ссылок, эксперты сделали вывод о глобальном характере кампании. Потенциальные жертвы злоумышленников могут находиться в двух десятках стран, среди которых есть и Россия.
 |
нравится | не нравится |  |
Рейтинг: | 0 |
Всего голосов: 0 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
