Специалисты «Лаборатории Касперского» рассказали о криминальной кампании RevengeHotels, нацеленной на гостиничный сектор Бразилии и ряда других стран. По мнению экспертов, как минимум две преступные группировки охотятся за данными банковских карт гостей отелей, заражая как устройства постояльцев, так и компьютеры принимающей стороны.

Методы первоначального заражения

Как выяснили ИБ-аналитики, злоумышленники широко используют в своих кампаниях тайпсквоттинг и методы социальной инженерии. Обычно атака начинается с электронного письма, к которому приложен документ с вредоносным OLE-объектом. Сообщения, отправленные в адрес отелей, содержат просьбу о резервировании большого количества номеров для реально существующей организации. Чтобы обмануть жертву, киберпреступники прикладывают к посланию выписку из государственного реестра легитимной компании, а само письмо отправляют с домена, очень похожего на официальный.

Если жертва открывает вредоносный файл, он загружает небольшой PowerShell-скрипт, который, в свою очередь, доставляет на устройство основную полезную нагрузку. Эксперты выявили две криминальные команды, использующие в своих кампаниях разные зловреды.

Какие вредоносные программы используют киберпреступники

Группировка RevengeHotels устанавливает на целевые компьютеры исполняемый файл, созданный при помощи фреймворка .NET и упакованный программой Yoda Obfuscator. Как показало изучение исходного кода, в качестве зловреда выступает троян RevengeRAT уже засветившийся в криминальных кампаниях на Ближнем Востоке, в Америке и Европе.

В дополнение к бэкдору киберпреступники доставляют на машину вредоносный скрипт ScreenBooking, который отслеживает открытие определенных страниц в браузере и перехватывает данные банковских карт, введенные посетителем. Модуль способен работать с отельными агрегаторами, такими как booking.com, и проводить мониторинг данных на английском и португальском языках.

Вторая команда, получившая название ProCC, использует оригинальную программу, написанную на Delphi. Зловред способен перехватывать информацию из буфера обмена, а также копировать содержимое документов, отправленных на принтер.

По данным телеметрии «Лаборатории Касперского», большинство жертв кибератак находятся в Бразилии и других странах Южной и Центральной Америки. Сведения о заражениях поступали также из Испании, Португалии, Италии, Турции и Таиланда. Между тем, изучив статистку сервиса bit.ly, применяемого для сокращения вредоносных ссылок, эксперты сделали вывод о глобальном характере кампании. Потенциальные жертвы злоумышленников могут находиться в двух десятках стран, среди которых есть и Россия.

Категории: Вредоносные программы