29/11/19
Специалисты из «Лаборатории Касперского» обнаружили две киберпреступные группировки, нацеленные на сферу отельного бизнеса. Первая группировка получила название RevengeHotels, а вторая — ProCC.
Злоумышленники в ходе атак используют разные методы социальной инженерии, выдавая себя за представителей государственных организаций или частных компаний, желающих забронировать номера для большого количества людей. Операторы вредоносной кампании также используют динамические DNS-службы и продают учетные данные уязвимых систем жертв, предоставляя другим киберпреступникам удаленный доступ к зараженным сетям.
RevengeHotels развернула целенаправленную кампанию против отелей, хостелов, гостиничных и туристических компаний, расположенных в Бразилии (преимущественно) и других странах. Эксперты выявили более 20 подвергнувшихся атакам отелей в Бразилии, а также в других странах, в частности в Аргентине, Боливии, Чили, Коста-Рике, Франции, Италии, Мексике, Португалии, Испании, Таиланде и Турции. Целью злоумышленников являлась кража данных кредитных карт посетителей и путешественников, хранящихся в компьютерных системах гостиниц и популярных туристических online-агентств (Booking.com и пр.).
Основным вектором атаки являлась фишинговые письма с прикрепленными вредоносными документами в формате Microsoft Word, Excel или PDF. Злоумышленники эксплуатировали уязвимость удаленного выполнения кода (CVE-2017-0199) в MS Office для установки троянов RevengeRAT, NjRAT, NanoCoreRAT, 888 RAT на компьютер жертвы.
