Portugal, um dos países mais afetados pela campanha de malware RevengeHotels

Uma investigação de Kaspersky sobre a campanha RevengeHotels, direcionada ao setor hoteleiro, confirmou que mais de 20 hotéis na Europa, América Latina e Ásia foram alvo de ataques de malware dirigidos. Portugal é o 3º país da lista com mais vítimas que acederam ao link malicioso.

RevengeHotels é uma campanha na qual participam vários grupos com a intenção de infetar empresas ligadas à hotelaria mediante a utilização de Trojans de Acesso Remoto (RATs), que está ativa desde 2015 e que aumentou significativamente a sua presença este ano. Pelo menos dois grupos, RevengeHotels e ProCC, participaram na campanha, sendo provável que estejam envolvidos outros grupos de hackers.

O principal vetor de ataque nesta campanha são e-mails com ficheiros maliciosos anexados, nos formatos de Word, Excel ou PDF. Alguns deles exploram a vulnerabilidade CVE-2017-0199 através de scripts VBS e PowerShell, instalando posteriormente versões de vários RATs, bem como malware personalizado, como é exemplo o ProCC, nos dispositivos das vítimas. Desta forma, conseguem executar comandos e configurar o acesso à distância dos sistemas afetados.

Cada e-mail de spear-phishing utilizado foi programado com elevada atenção ao detalhe, sendo que na maioria dos casos o remetente se fez passar por organizações legítimas que pediam para efetuar reservas para grupos numerosos de turistas. Há que ter em consideração que mesmo os utilizadores mais experientes podem ser vítimas destes e-mails, abrindo e descarregando os ficheiros anexados, precisamente devido ao elevado nível de pormenorização dos mesmos (por exemplo, cópias de documentos legais ou informação sobre os motivos das reservas), o que contribui para tornar a mensagem mais convincente. Na verdade, o único detalhe que podia servir para comprovar que o e-mail era fraudulento correspondia a uma pequena alteração ortográfica no nome do domínio da organização do suposto remetente. 

Uma vez infetado um dispositivo, os hackers conseguiam aceder ao mesmo de forma remota e, inclusivamente, segundo alertam os investigadores da Kaspersky, vender o acesso aos dados armazenados nos sistemas das receções dos hotéis através de uma subscrição. O malware recolheu informações da área de transferência das receções, da fila de impressão ou de capturas de ecrã. Os dados também puderam ser comprometidos porque os colaboradores dos hotéis copiavam muitas vezes a informação dos cartões de crédito dos seus clientes desde as bases de dados das agências de viagens online, para poderem cobrar os pagamentos.

E-mail de phishing enviado a um hotel, em que uma aparente empresa de advogados solicita uma reserva

Os dados de telemetria da Kaspersky confirmam que foram alvo destes ataques hotéis em Portugal, Espanha, Argentina, Bolívia, Brasil, Chile, Costa Rica, França, Itália, México, Tailândia e Turquia. Por outro lado, e segundo revelam os dados recolhidos do Bit.ly (serviço para encurtar o URL de websites que os hackers utilizaram para partilhar links maliciosos), conclui-se que utilizadores de outros países poderão ter acedido à ligação de malware, um fator que poderá indicar que o número de potenciais vítimas é maior. Em Portugal, registaram-se 59 vítimas através do Bit.ly.

“À medida que cresce a precaução dos utilizadores no que respeita à privacidade dos seus dados, os hackers recorrem cada vez mais a pequenas empresas, que à partida não contam com um alto nível de proteção contra ciberataques, mas possuem, ao mesmo tempo, um elevado número de dados pessoais. Neste sentido, as empresas hoteleiras devem acautelar-se, melhorando as suas soluções de segurança profissionais, de forma a evitar roubos de dados, que podem não só afetar os seus hóspedes, como manchar a reputação dos hotéis”, comentou Dmitry Bestuzhev, responsável da equipa global de análise e investigação da Kaspersky América Latina. 




Deixe um comentário

O seu email não será publicado