Rede hoteleira do Brasil sob pesada campanha de phishing

RevengeHotels, que visa obter dados de cartões de crédito de clientes, além de informações financeiras de agências de viagens on-line, como Booking.com e outras

As redes de hotéis brasileiras estão sob ataque: especialistas da Kaspersky acabam de divulgar um relatório detalhando uma campanha de hackers batizada de RevengeHotels, que visa obter dados de cartões de crédito de clientes, além de informações financeiras de agências de viagens on-line, como Booking.com e outras. Os cibercriminosos também estão revendendo os dados de acesso remoto aos computadores contaminados.

A campanha está sendo feita principalmente em direção aos funcionários: eles recebem constantemente e-mails de uma campanha maciça de phishing direcionada ao setor de hospitalidade do Brasil e de mais 22 países. No entanto o Brasil é o país mais visado, com 1067 emails. Os EUA ficam em segundo lugar com apenas 60. Outros alvos estão em países como Argentina, Bolívia, Chile, México e até em alguns setores da Europa, incluindo Espanha, Portugal, França e Itália.

Os anexos enviados nos e mails são o principal meio de contaminação: ali estão documentos do Word, Excel ou PDF, carregados com malware para explorar algumas vulnerabilidades conhecidas, principalmente o CVE-2017-0199 (uma vulnerabilidade no Microsoft Word que permite a execução de um script malicioso em Visual Basic). Especialistas em segurança cibernética dizem que essa campanha está ativa desde 2015, embora a atividade tenha aumentado significativamente nos últimos 12 meses.

O ataque começa com um e-mail de spear phishing (direcionado a uma pessoa), supostamente enviado por uma empresa interessada em fazer a reserva no hotel de destino. Os hackers dedicam tempo para criar mensagens altamente detalhadas e com enorme aparência de legitimidade. 

O anexo (geralmente com o nome de AdvogadosAssociations.docx, ou ligeiramente diferente, dependendo do país para onde é enviado) contém um arquivo malicioso do Word, capaz de executar o código ao ser aberto; esse código de macro contém comandos do PowerShell do Windows para baixar e executar a parte mais nociva do malware.

Monitorando alguns fóruns na dark web, os especialistas da Kaspersky descobriram que os operadores dessa campanha se concentram principalmente nos equipamentos das recepções de hotéis. Além de capturarem cartões, eles também vendem o acesso remoto a esses sistemas.

Após extrair os dados do cartão de crédito, os hackers começam a vender essas informações, cujo maior atrativo é o fato de haverem sido capturadas em hotéis, consideradas fontes confiáveis no mundo do crime cibernético.

Com agências internacionais

Compartilhe
Compartilhar no email
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no linkedin
Compartilhar no whatsapp