Malspamová kampaň „Inhospitality“ se zaměřuje na hotely

Bezpečnostní specialisté týmu Sophos X-Ops varují provozovatele pohostinských a hotelových služeb před malspamovou kampaní využívající sociální inženýrství, která se zaměřuje na hotely po celém světě. Malware určený ke krádeži hesel využívá e-mailové zprávy vypadající jako stížnosti na poskytnuté služby nebo žádosti o doplňující informace k rezervaci pobytu pro získání důvěry u vyhlédnutých cílů, aby jim poté zaslal odkaz na škodlivé soubory.

Útočníci používají podobné metody, jaké odhalil tým Sophos X-Ops v měsících před termínem podání daňových přiznání ve Spojených státech v dubnu 2023. Zpočátku kontaktují svůj cíl prostřednictvím e-mailu, který obsahuje pouze text, ale s předmětem, na který by firma zaměřená na služby (například hotel) měla rychle reagovat. Teprve poté, co cíl zareaguje na první e-mail od útočníka, odešle se mu následná zpráva s odkazem na údajně podrobné informace k jeho žádosti nebo stížnosti.

Sociální inženýrství zahrnuje širokou škálu podvodných zpráv, které lze rozdělit do dvou obecných kategorií: stížnosti na závažné problémy, které odesílatel údajně zažil při nedávném pobytu, nebo žádosti o informace, které by pomohly s budoucí rezervací.

Obracím se na vás s dotazem

Obsah zpráv ve stylu „stížnost“ se pohybuje od obvinění z násilných útoků nebo bigotního chování hotelového personálu, až po tvrzení, že „hostovi“ byly z jeho pokoje ukradeny věci. Zprávy typu „žádost o informace“ zahrnovaly e-maily s žádostí o ubytování pro osoby s těžkými alergiemi, dotazy na podporu hotelu během obchodního jednání nebo dotazy na přístupnost hotelu pro zdravotně postižené či starší hosty.

Ve všech případech, jakmile zástupce hotelu reagoval na počáteční dotaz s žádostí o další informace, odpověděl útočník zprávou, která – jak sám uvedl – odkazovala na dokumentaci nebo důkazy podporující jeho tvrzení nebo požadavky. Tato „dokumentace“ ale není skutečná, jedná se o malware zabalený do heslem chráněného archivního souboru. Odkazy míří na veřejná cloudová úložiště, jako je například Disk Google, a zpráva obsahuje heslo (obvykle číselné), které má příjemce použít k otevření archivu ve formátu ZIP nebo RAR dostupného pod odkazem ke stažení.

Společné charakteristiky e-mailových zpráv v kampani

Zprávy, které útočníci posílají zaměstnancům hotelů, mají některé společné rysy, které jsou podezřelé a zasluhují si od příjemců zvýšenou opatrnost. Stejně jako mnoho jiných úspěšných malspamových kampaní jsou i tyto zprávy navrženy tak, aby hrály na emoce a na ochotu cílové skupiny poskytnout pomoc. Ta je pro úspěšné lidi pracující v pohostinství samozřejmou vlastností. V jednom z příkladů útočník sdělí hotelovému personálu, že v pokoji zapomněl fotoaparát s fotografiemi nedávno zesnulého příbuzného, a žádá hotel o pomoc s jeho nalezením. Když se personál hotelu v reakci zeptal se na číslo pokoje a jméno, pod kterým byla rezervace provedena, předstíral útočník rozčilení. „Už jsem se vám zmínil o zármutku mé rodiny. Ztratil jsem velmi cennou věc s posledními vzpomínkami na moji matku. Pokud vám pošlu obrázek fotoaparátu, mohli byste mi prosím pomoci?“ Napsal útočník a připojil odkaz na soubor umístěný na Disku Google společně s textem „Heslo: 123456“.

V dalším příkladu posílá útočník do hotelu e-mail a žádá ho o odpověď, protože se mu nepodařilo kontaktovat hotel prostřednictvím webových stránek nebo telefonicky. Když ho pracovník hotelu požádá, aby poskytl více informací o své rezervaci, útočník odpoví, že si už rezervoval pokoj přes webové stránky, ale potřebuje zajistit ubytování pro člena rodiny se zdravotním postižením. Druhý e-mail odkazuje na soubor ve formátu ZIP, umístěný na Disku Google, který podle útočníka obsahuje „lékařské záznamy a doporučení“ a k otevření souboru je opět nutné heslo „123456“. V této zprávě útočník dodává: „Můj manžel upozornil, že tento odkaz na Disk Google může být kompatibilní pouze s počítači se systémem Windows. V dokumentech jsou uvedeny důležité údaje včetně čísla rezervace a dokladu o zaplacení. Je nezbytné, abyste se s těmito podrobnostmi seznámili.“

Snad nejzávažnějším příkladem je žádost útočníka o kontakt s hotelovým manažerem, aby mohl vyřešit problém, který v hotelu měl. Jakmile manažer odpoví, útočník napíše „Nemyslel jsem si, že existují tak hrozné hotely“ a popíše děsivou (fiktivní) zkušenost, která zahrnovala plesnivé stěny, štěnice v nábytku, které výrazně zhoršily komfort jeho pobytu, a zaměstnance, který použil rasistickou narážku. V e-mailu je odkaz na soubor ve formátu RAR archivu umístěný u poskytovatele cloudového hostingu Mega.nz, rovněž s heslem „123456“, který podle odesílatele obsahuje video s konfrontací mezi hostem a zaměstnancem.

Všechny e-maily jsou záminkou ke sdílení dokumentace s pracovníky hotelů prostřednictvím cloudových úložišť Disk Google, Mega.nz či Dropbox nebo v rámci sdílení obsahu přes chatovací platformu Discord. Škodlivý kód spojený s těmito zprávami je uložen v komprimovaných archivech typu ZIP nebo RAR a používá některé z následujících hesel: 1111, 123456, 2023, info2023, hotel, nebo 501949.

Zaznamenali jsme i mnoho dalších příkladů tvůrčího psaní útočníků. V e-mailech si hosté stěžovali na různé nemoci, na alergické reakce na čisticí prostředky, údajné otravy, skvrny na matracích, stěnách nebo v koupelnách, na hmyz v nábytku a pokojích, stejně jako na kabelky, prsteny, drahé hodinky nebo fotoaparáty, které byly v pokojích zapomenuty nebo ukradeny, na potřebu ubytování nebo pomoc hostům s omezenou pohyblivostí nebo přístup k technologiím a na hrubé, násilné nebo bigotní chování personálu vůči hostům.

Malware, který se umí vyhnout sandboxingu

Samotný malware byl vytvořen s cílem ztížit skenování nebo odhalení škodlivého obsahu. Všechny archivy jsou chráněny heslem, což brání cloudové službě, kde jsou umístěny, v náhodném prověření a zjištění, zda se nejedná o škodlivý obsah. Malware má po rozbalení z archivních kontejnerů vlastnosti, které mu rovněž pomáhají vyhnout se okamžité detekci.

Mnohé z rozbalených souborů s malwarem jsou výrazně větší než typický spustitelný soubor. Některé z odhalených vzorků měly velikost přesahující 600 MB, ačkoli naprostou většinu vnitřního obsahu těchto souborů tvořily pouze bajty obsahující nuly, které sloužily jako výplň prostoru. Soubory této velikosti mohou být přehlédnuty skenery statické ochrany koncových bodů, které jsou určeny ke zpracování mnohem menších souborů.

Téměř všechny vzorky byly podepsány certifikátem pro ověření kódu. Mnohé z certifikátů jsou zcela nové – získané během období kampaně – a dotazy na některé z těchto certifikátů ukazují, že podpis je u mnoha vzorků platný, zatímco jiné se zdají být falešné nebo padělané a ověřením neprojdou. Některé nástroje na ochranu koncových bodů automaticky vyloučí z kontroly spustitelné soubory s platnými podpisy; jiné pouze hledají přítomnost certifikátu a neobtěžují se zkontrolovat, zda je platný.

Jednoduchý, ale účinný malware na odcizení hesel

Zdá se, že většina vzorků je variantou z rodiny malwaru nazvané Redline Stealer. Navzdory své velikosti tvoří 99 % objemu spustitelných souborů malwaru (s příponou .exe nebo .scr), které mají velikost větší než 600 MB, pouhé nuly. Kód malwaru je připojen na konec velmi velkých souborů pomocí příkazů, které přeskakují prázdné místo. Po spuštění se malware okamžitě připojí k adrese služby šifrovaných zpráv v Telegramu. Tato adresa odkazuje na chatovací místnost, jejíž název je webová adresa používaná pro příkazy a ovládání bota. V době, kdy tým Sophos X-Ops tento malware testoval, byla touto adresou IP adresa a nestandardní port TCP s vysokým číslem. Následně se bot připojí k adrese, kterou získá z kanálu na Telegramu, a stáhne z ní kód, který je schopen využívat různé funkce. Pomocí požadavků HTTP POST na server C2 odesílá telemetrii o infikovaném počítači, včetně podrobností o účtech uložených v prohlížeči a snímků obrazovky. Server poskytuje informace, které může bot použít k šifrování své komunikace v odpovědi.

Škodlivý software v hostitelském počítači nepřetrvává. Jednou se spustí, provede extrakci a exfiltraci dat, která chce ukrást, a pak zmizí. Kromě hesel a informací o cookies tento bot profiluje počítač, na kterém je spuštěn, a odesílá o něm vše do řídicí jednotky bota. Testované vzorky se po spuštění ani neodstranily.

V době přípravy tohoto textu získal tým Sophos X-Ops více než 50 unikátních vzorků z cloudových úložišť, kde útočníci v rámci této kampaně soubory hostovali, přičemž škodlivé odkazy bezpečnostní experti nahlásili na různé poskytovatele cloudových úložišť, u kterých je malware umístěn. U většiny těchto vzorků bylo v systému VirusTotal zjištěno jen málo pozitivních detekcí, nebo vůbec žádné.

Společnost Sophos zveřejnila indikátory kompromitace ve svém úložišti na GitHubu. Produkty Sophos pro zabezpečení koncových bodů tento malware detekují jako Troj/Agent-BKJE. Pokusy o exfiltraci přihlašovacích údajů jsou blokovány pomocí behaviorální detekce Creds_2D.

Manažeři hotelů a restaurací zpozorněte

Útok, který zneužívá dobré úmysly manažerů v pohostinství, může způsobit problémy nejen hotelu, ale i hostům, kteří v něm pobývají. Manažeři hotelů a restaurací mají – a v některých případech doslova – klíče od všeho, co se v prostorách hotelu či restaurace děje, a jejich hesla jim umožňují přístup k mnoha neveřejným informacím o zaměstnancích, hostech a návštěvnících.

„Malware používaný při těchto útocích není nijak zvlášť sofistikovaný. Jakmile zločinci, kteří stojí za těmito útoky, získají ukradená hesla, mohou je použít pro získání přístupu k dalším hotelovým prostředkům nebo je prodat jiným zločincům. Ačkoli je tento útok zaměřen přímo na manažery hotelů, vedlejší škodou je ohrožení soukromí hotelových hostů,“ říká Andrew Brandt, hlavní výzkumník hrozeb společnosti Sophos.

„Hosté se z různých důvodů spoléhají na diskrétnost hotelového personálu, které ale takový útok připraví o možnost chránit své klienty před kyberzločinci, kteří by mohli zneužít ukradené přihlašovací údaje. Zaměstnanci hotelu a vedoucí manažeři by se měli mít na pozoru před jedinečnými a neobvyklými charakteristikami tohoto útoku. Měli by vědět, že spammeři v této kampani nemají a na požádání odmítnou poskytnout údaje o rezervaci v těle zprávy, ale mohou se pokusit přesvědčit zaměstnance hotelu, že tyto informace jsou vloženy v odkazovaném, škodlivém archivním souboru. Pokud osoba, která hotel kontaktuje, odmítá v samotné zprávě uvést základní informace, jako je jméno registrovaného hosta, datum jeho pobytu nebo číslo rezervace, a použije archivní soubory chráněné heslem jako způsob doručení těchto údajů, je to signálem, že něco není v pořádku,“ upozorňuje Andrew Brandt.

„Manažeři IT v hotelech by měli všude, kde je to praktické, nasadit vícefaktorové ověřování a v počítačích s Windows změnit výchozí nastavení operačního systému, které skrývá přípony známých typů souborů. Bezpečnostní týmy pak mohou zaměstnancům poskytovat školení a informovat je o příponách souborů (jako jsou .exe nebo .scr), které je nebezpečné otevírat. Všechny počítače používané ke komunikaci s hosty by měly mít odpovídající software pro ochranu koncových bodů,“ doporučuje Andrew Brandt.

Andrew Brandt a Sean Gallagher, hlavní výzkumníci hrozeb společnosti Sophos