RevengeHotels,一场具有高度针对性的黑客行动,目前已有超过20家酒店成为了其受害者,它们主要位于巴西的八个州,但也包括其他一些国家/地区,如阿根廷、玻利维亚、智利、哥斯达黎加、法国、意大利、墨西哥、葡萄牙、西班牙、泰国和土耳其。
这场黑客行动的目标是窃取酒店系统中客户支付卡数据,以及从诸如Booking.com之类的热门在线旅行社(OTA)接收到的支付卡数据,而攻击媒介主要是精心设计的钓鱼电子邮件,附件包括Word、Excel和PDF文件。
其中一些附件能够利用CVE-2017-0199,这涉及到使用VBS和PowerShell脚本来加载漏洞利用程序,然后在受感染计算机上安装自定义版本的RevengeRAT、NjRAT、NanoCoreRAT、888 RAT以及其他恶意软件。
钓鱼电子邮件样本分析
为了让钓鱼电子邮件看上去来自合法机构,攻击者注册并使用了近似合法机构的域名。此外,邮件的正文也写得十分专业,如详细解释了为什么会选择预定指定酒店的原因。
图1.一封声称来自某律师事务所的电子邮件
这封采用葡萄牙语编写的钓鱼电子邮件附带有两个文件:一个恶意Word文件,一个图片文件。图片文件显然是为了增加可信度,它被描述为巴西国家法人登记卡(CNPJ)的复印件。
恶意Word文件被命名为“Reserva Advogados Associados.docx”,能够通过模板注入释放一个远程OLE对象来执行宏代码。宏代码包含多个PowerShell命令,这些命令被用于下载并执行最终的有效载荷。
图2.宏代码所包含的PowerShell命令
下载的文件是受Yoda Obfuscator保护的.NET二进制文件,解压后代码被识别为Revenge RAT(一种能够在暗网买到的远控木马)。不仅如此,攻击者还编写的另一个名为“ScreenBooking”的模块用于捕获支付卡数据——通过监视浏览器。
图3.恶意软件监视浏览器
还有一些钓鱼电子邮件附件下载的是Delphi二进制文件,安装的后门似乎是攻击者自己开发的,能够从剪贴板和打印机后台处理程序收集数据以及获取屏幕截图。
图4.恶意软件从剪贴板和打印机后台处理程序收集数据,以及获取屏幕截图
不仅出售数据,还出售酒店系统的远程访问权限
据称,RevengeHotels行动背后的攻击者不仅出售窃取来的支付卡数据,同时也出售对酒店系统的远程访问权限。
图5.出售酒店系统远程的访问权限
图6.出售支付卡数据的广告
结论
RevengeHotels行动被认为至少在2015年就已经启动,并且一直活跃至今。在这场行动中,攻击者使用了多种远控木马来感染目标酒店系统。尽管受感染计算机主要集中在巴西,但在其他国家/地区同样也受到了影响。
如果你也喜欢旅行,或者需要经常出差住酒店,那么我们建议你,最好专门办理一张银行卡来进行支付,并且不要存入过多的金额,因为你无法肯定,你所住的酒店是安全的。
本文来自投稿,不代表本人立场,如若转载,请注明出处:http://www.sosokankan.com/article/1551980.html