SOS :: Security Operation Space
8 декабря, воскресенье, 00:00
|
Hot News:

Две криминальные группировки атакуют гостиничный сектор

29 ноября 2019 г., пятница, 16:36

Киберпреступники устанавливают программы для кражи данных банковских карт на компьютеры отелей и их постояльцев.

Специалисты «Лаборатории Касперского» рассказали о криминальной кампании RevengeHotels, нацеленной на гостиничный сектор Бразилии и ряда других стран. По мнению экспертов, как минимум две преступные группировки охотятся за данными банковских карт гостей отелей, заражая как устройства постояльцев, так и компьютеры принимающей стороны.

Методы первоначального заражения

Как выяснили ИБ-аналитики, злоумышленники широко используют в своих кампаниях тайпсквоттинг и методы социальной инженерии. Обычно атака начинается с электронного письма, к которому приложен документ с вредоносным OLE-объектом. Сообщения, отправленные в адрес отелей, содержат просьбу о резервировании большого количества номеров для реально существующей организации. Чтобы обмануть жертву, киберпреступники прикладывают к посланию выписку из государственного реестра легитимной компании, а само письмо отправляют с домена, очень похожего на официальный.

Если жертва открывает вредоносный файл, он загружает небольшой PowerShell-скрипт, который, в свою очередь, доставляет на устройство основную полезную нагрузку. Эксперты выявили две криминальные команды, использующие в своих кампаниях разные зловреды.

Какие вредоносные программы используют киберпреступники

Группировка RevengeHotels устанавливает на целевые компьютеры исполняемый файл, созданный при помощи фреймворка .NET и упакованный программой Yoda Obfuscator. Как показало изучение исходного кода, в качестве зловреда выступает троян RevengeRAT уже засветившийся в криминальных кампаниях на Ближнем Востоке, в Америке и Европе.

В дополнение к бэкдору киберпреступники доставляют на машину вредоносный скрипт ScreenBooking, который отслеживает открытие определенных страниц в браузере и перехватывает данные банковских карт, введенные посетителем. Модуль способен работать с отельными агрегаторами, такими как booking.com, и проводить мониторинг данных на английском и португальском языках.

Вторая команда, получившая название ProCC, использует оригинальную программу, написанную на Delphi. Зловред способен перехватывать информацию из буфера обмена, а также копировать содержимое документов, отправленных на принтер.

По данным телеметрии «Лаборатории Касперского», большинство жертв кибератак находятся в Бразилии и других странах Южной и Центральной Америки. Сведения о заражениях поступали также из Испании, Португалии, Италии, Турции и Таиланда. Между тем, изучив статистку сервиса bit.ly, применяемого для сокращения вредоносных ссылок, эксперты сделали вывод о глобальном характере кампании. Потенциальные жертвы злоумышленников могут находиться в двух десятках стран, среди которых есть и Россия.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
16:59
16:26
16:06
15:15
14:15
12:15
11:15
10:15
07:15
06:15
05:37
04:28
17:15
16:15
16:15
14:49
13:15
10:15


© 2013—2019 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.527
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.