INFO 8 Опубликовано: 5 дек 2019 Специалисты «Лаборатории Касперского» рассказали о криминальной кампании RevengeHotels, нацеленной на гостиничный сектор Бразилии и ряда других стран. По мнению экспертов, как минимум две преступные группировки охотятся за данными банковских карт гостей отелей, заражая как устройства постояльцев, так и компьютеры принимающей стороны. Методы первоначального заражения. Как выяснили ИБ-аналитики, злоумышленники широко используют в своих кампаниях тайпсквоттинг и методы социальной инженерии. Обычно атака начинается с электронного письма, к которому приложен документ с вредоносным OLE-объектом. Сообщения, отправленные в адрес отелей, содержат просьбу о резервировании большого количества номеров для реально существующей организации. Чтобы обмануть жертву, киберпреступники прикладывают к посланию выписку из государственного реестра легитимной компании, а само письмо отправляют с домена, очень похожего на официальный. Если жертва открывает вредоносный файл, он загружает небольшой PowerShell-скрипт, который, в свою очередь, доставляет на устройство основную полезную нагрузку. Эксперты выявили две криминальные команды, использующие в своих кампаниях разные зловреды. Какие вредоносные программы используют киберпреступники. Группировка RevengeHotels устанавливает на целевые компьютеры исполняемый файл, созданный при помощи фреймворка .NET и упакованный программой Yoda Obfuscator. Как показало изучение исходного кода, в качестве зловреда выступает троян RevengeRAT уже засветившийся в криминальных кампаниях на Ближнем Востоке, в Америке и Европе. В дополнение к бэкдору киберпреступники доставляют на машину вредоносный скрипт ScreenBooking, который отслеживает открытие определенных страниц в браузере и перехватывает данные банковских карт, введенные посетителем. Модуль способен работать с отельными агрегаторами, такими как booking.com, и проводить мониторинг данных на английском и португальском языках. Вторая команда, получившая название ProCC, использует оригинальную программу, написанную на Delphi. Зловред способен перехватывать информацию из буфера обмена, а также копировать содержимое документов, отправленных на принтер. По данным телеметрии «Лаборатории Касперского», большинство жертв кибератак находятся в Бразилии и других странах Южной и Центральной Америки. Сведения о заражениях поступали также из Испании, Португалии, Италии, Турции и Таиланда. Между тем, изучив статистку сервиса bit.ly, применяемого для сокращения вредоносных ссылок, эксперты сделали вывод о глобальном характере кампании. Потенциальные жертвы злоумышленников могут находиться в двух десятках стран, среди которых есть и Россия. 0 Поделиться сообщением Ссылка на сообщение