Sophos X-Ops的網絡安全研究人員向酒店業發出警告,稱其存在針對全球酒店的復雜垃圾郵件活動。該活動利用社會工程策略來引誘酒店代表打開受密碼保護的檔案,其中包含旨在竊取敏感數據的惡意軟件。

惡意垃圾郵件攻擊是一種網絡安全威脅,惡意行為者發送包含惡意軟件的電子郵件來感染您的設備并竊取您的數據或破壞您的系統。想象一下,一封垃圾郵件不僅充滿了垃圾,還充滿了隱藏的陷阱,等待著讓您陷入困境。這本質上就是惡意垃圾郵件攻擊。

據研究人員稱,攻擊者瞄準世界各地的酒店,通過電子郵件投訴服務問題(例如聲稱暴力襲擊、偏執行為和盜竊物品)或索取信息(例如要求為過敏癥患者提供住宿、業務支持或殘疾人無障礙設施或老年客人)在發送惡意負載鏈接之前創建合法的光環。

就在FortiGuard實驗室研究人員發現類似活動針對毫無戒心的用戶進行虛假酒店預訂/預訂騙局的幾天后,惡意垃圾郵件活動被報道。在此活動中,詐騙者使用MrAnon Stealer破壞了設備。

這些電子郵件包含指向托管在Google Drive等公共云存儲平臺上的受密碼保護的檔案的鏈接。密碼通常很簡單(例如“123456”),可授予惡意軟件(主要是Redline Stealer或Vidar Stealer系列)的訪問權限。它利用密碼保護和跳轉命令等混淆技術來逃避檢測。此外,大文件大小(大于可執行文件)通常包含零作為空格填充,以防止分析。

Sophos研究人員發現,攻擊者使用的方法與他們在2023年4月發現的方法相同。這些電子郵件通常涵蓋廣泛的主題,可大致分為對最近入住酒店期間遇到的嚴重問題的投訴以及要求提供信息的請求。未來的預訂。

無論哪種方式,攻擊者都會發送包含在受密碼保護的存檔文件中的惡意軟件有效負載的鏈接,從而對酒店代表構成威脅。在每種情況下,威脅行為者都會提供文檔作為其投訴的證據,其中包含惡意軟件。這些信息的設計是為了利用情緒。例如,在其中一條消息中,發件人請求幫助找到裝有已故親戚照片的相機。

在另一個樣本中,威脅行為者聲稱已經通過網站預訂了房間,但需要為殘疾家庭成員提供住宿,并提供包含醫療記錄的ZIP文件的鏈接。威脅行為者補充說,該鏈接可能只與Windows計算機兼容。

大多數樣本都有代碼驗證證書,其中一些是新的或假的。端點保護工具可能會從掃描中排除有效證書,或僅檢查證書是否存在。該惡意軟件連接到Telegram加密消息服務URL。

然后,該機器人從URL下載有效負載,并使用HTTP POST請求提交有關受感染計算機的遙測數據。該惡意軟件不會在主機上建立持久性,僅運行一次,提取和泄露數據,然后退出。機器人對機器進行分析并將有關機器的信息發送到機器人控制器。

Sophos X-Ops已從執行該活動的威脅行為者托管的云存儲中檢索到了50多個獨特樣本。大多數樣本在Virustotal中幾乎沒有檢測到。Sophos已將IoC(妥協指標)發布到其GitHub存儲庫。

Sophos的首席威脅研究員Andrew Brandt分享了有關惡意垃圾郵件活動的以下評論,解釋了該活動給酒店業帶來的風險。

“像這樣的攻擊利用了善意的酒店管理人員,不僅會給酒店帶來問題,還會給住在那里的客人帶來問題。酒店經理(在某些情況下,字面上)掌握著酒店內發生的所有事情的鑰匙,他們的密碼使他們能夠訪問有關員工、客人和訪客的大量非公開信息。

“這些攻擊中使用的惡意軟件并不是特別復雜。一旦這些攻擊背后的犯罪分子竊取了密碼,他們就可以使用這些憑據來訪問其他酒店資產或將憑據出售給其他犯罪分子。雖然這次攻擊直接針對酒店經理,但酒店客人(普通消費者)的隱私受到損害,這也是附帶損害。”

“出于各種原因,客人依賴酒店工作人員的判斷力,但像這樣的攻擊使酒店工作人員無法保護客戶免受可能濫用被盜憑證的網絡犯罪分子的侵害。酒店工作人員和一線管理人員應對此次襲擊的獨特和不尋常特征保持警惕。此外,他們應該注意,此活動中的垃圾郵件發送者沒有,并且(當被要求時)將拒絕在消息正文中提供預訂詳細信息,但可能會試圖說服酒店員工此類信息嵌入在鏈接的惡意鏈接中。存檔文件。

“如果聯系酒店的人拒絕在消息本身中提供基本信息,例如登記客人的姓名、入住日期或預訂號碼,請務必小心。使用受密碼保護的存檔文件作為交付方法是另一個暴露出嚴重問題的跡象。

“酒店 IT 經理應在任何可行的地方部署多重身份驗證,并將策略推送到Windows計算機,以更改Windows中隱藏已知文件類型的文件后綴的默認設置。這樣,安全團隊就可以提供有關工作人員打開有危險的文件擴展名(.exe或.scr等)的培訓和消息傳遞。最后,所有用于與訪客通信的計算機都應該配備足夠的端點保護軟件。”

惡意垃圾郵件 酒店業
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接