2020-1-13
A campanha RevengeHotels, direcionada ao setor hoteleiro, confirmou que mais de 20 hotéis foram alvo de ataques de malware dirigidos. Portugal é o terceiro país da lista com mais vítimas
A investigação de Kaspersky sobre a campanha RevengeHotels, direcionada ao setor hoteleiro, confirmou que mais de 20 hotéis na Europa, América Latina e Ásia foram alvo de ataques de malware dirigidos. Portugal é o 3.º país da lista com mais vítimas que acederam ao link malicioso. Como resultado, a informação de cartões de crédito de hóspedes armazenados em sistemas de reserva dos hotéis, incluindo os recebidos por agências de viagem online, correm o risco de serem roubados e vendidos a criminosos de todo o mundo. RevengeHotels é uma campanha na qual participam vários grupos com a intenção de infetar empresas ligadas à hotelaria mediante a utilização de Trojans de Acesso Remoto (RATs), que está ativa desde 2015 e que aumentou significativamente a sua presença este ano. Pelo menos dois grupos, RevengeHotels e ProCC, participaram na campanha, sendo provável que estejam envolvidos outros grupos de hackers. O principal vetor de ataque nesta campanha são e-mails com ficheiros maliciosos anexados, nos formatos de Word, Excel ou PDF. Alguns deles exploram a vulnerabilidade CVE-2017-0199 através de scripts VBS e PowerShell, instalando posteriormente versões de vários RATs, bem como malware personalizado, como é exemplo o ProCC, nos dispositivos das vítimas. Desta forma, conseguem executar comandos e configurar o acesso à distância dos sistemas afetados. Cada e-mail de spear-phishing utilizado foi programado com elevada atenção ao detalhe, sendo que na maioria dos casos o remetente se fez passar por organizações legítimas que pediam para efetuar reservas para grupos numerosos de turistas. Há que ter em consideração que mesmo os utilizadores mais experientes podem ser vítimas destes e-mails, abrindo e descarregando os ficheiros anexados, precisamente devido ao elevado nível de pormenorização dos mesmos (por exemplo, cópias de documentos legais ou informação sobre os motivos das reservas), o que contribui para tornar a mensagem mais convincente. Na verdade, o único detalhe que podia servir para comprovar que o e-mail era fraudulento correspondia a uma pequena alteração ortográfica no nome do domínio da organização do suposto remetente. Uma vez infetado um dispositivo, os hackers conseguem aceder ao mesmo de forma remota e, inclusivamente, segundo alertam os investigadores da Kaspersky, vender o acesso aos dados armazenados nos sistemas das receções dos hotéis através de uma subscrição. O malware recolhe informações da área de transferência das receções, da fila de impressão ou de capturas de ecrã. Os dados também podem ser comprometidos porque os colaboradores dos hotéis copiavam muitas vezes a informação dos cartões de crédito dos seus clientes desde as bases de dados das agências de viagens online, para poderem cobrar os pagamentos. Os dados de telemetria da Kaspersky confirmam que foram alvo destes ataques hotéis em Portugal, Espanha, Argentina, Bolívia, Brasil, Chile, Costa Rica, França, Itália, México, Tailândia e Turquia. Por outro lado, e segundo revelam os dados recolhidos do Bit.ly (serviço para encurtar o URL de websites que os hackers utilizaram para partilhar links maliciosos), conclui-se que utilizadores de outros países poderão ter acedido à ligação de malware, um fator que poderá indicar que o número de potenciais vítimas é maior. Em Portugal, registaram-se 59 vítimas através do Bit.ly. |