Hotel booking.jpg

Hackere går efter hotel- og rejseselskaber med falske reservationer

En hacker sporet som TA558 har øget aktiviteten i år og kører phishing-kampagner, der er målrettet mod flere hoteller og virksomheder inden for hotel og restaurantionsbranchen.

Hackeren bruger et sæt af 15 forskellige malware-familier, normalt fjernadgangstrojanere (RAT), til at få adgang til målsystemerne, udføre overvågning, stjæle nøgledata og til sidst suge penge fra kunders konti.

TA558 har været aktiv siden mindst 2018, men Proofpoint har for nylig oplevet en stigning i sine aktiviteter, muligvis forbundet med opsvinget i turismen efter to år med COVID-19-begrænsninger.

Seneste TA558-kampagner

I 2022 skiftede TA558 fra at bruge makro-snørede dokumenter i sine phishing-e-mails og vedtog RAR- og ISO-vedhæftede filer eller indlejrede URL’er i meddelelserne.

Lignende ændringer er set med andre hackere som reaktion på Microsofts beslutning om at blokere VBA- og XL4-makroer i Office, som hackere historisk brugte til at indlæse, slippe og installere malware via skadelige dokumenter.

Phishing-e-mails, der starter infektionskæden, er skrevet på engelsk, spansk og portugisisk, målrettet mod virksomheder i Nordamerika, Vesteuropa og Latinamerika.

E-mail-emnerne drejer sig om at foretage en reservation på målorganisationen og foregive at komme fra konferencearrangører, turistkontoragenter og andre kilder, som modtagerne ikke let kan afvise.

Ofre, der klikker på URL’en i meddelelsesteksten, som påstås at være et reservationslink, modtager en ISO-fil fra en ekstern ressource.

Arkivet indeholder en batchfil, der starter et PowerShell-script, som til sidst slipper RAT-nyttelasten på offerets computer og opretter en planlagt opgave til vedholdenhed.

For eksempel brugte en 2022-kampagne QuickBooks-faktura lokker i stedet for værelsesreservationer og droppede udelukkende Revenge RAT.

Efter at have kompromitteret hotelsystemer med RAT-malware bevæger TA558 sig dybere ind i netværket for at stjæle kundedata, lagrede kreditkortoplysninger og ændre de klientvendte websteder for at omdirigere reservationsbetalinger.

I juli 2022 fik Marino Boutique Hotel i Lissabon, Portugal, hacket sin Booking.com-konto og den ubudne gæst stjal for over € 500.000 på fire dage fra intetanende kunder, der betalte for at booke et værelse.

Selvom involveringen af TA558 i dette tilfælde ikke var bevist, matcher den hackerens TTP’er og målretningsomfang og giver i det mindste et eksempel på, hvordan de kunne tjene penge på deres adgang til hotelsystemer.

Andre måder for TA558 at tjene penge på ville være at sælge eller bruge de stjålne kreditkortoplysninger, sælge klient-PII, afpresse personer med høj interesse eller sælge adgang til det kompromitterede hotels netværk til ransomware-bander.

Kilde: BleepingComputers

Foto: Pexels

Scroll to Top