Alerta: masivo robo de datos en hoteles y agencias

Los investigadores de seguridad de Kaspersky han publicado un nuevo informe que detalla una operación de malware de cibercrimen, denominado RevengeHotels, dirigido a hoteles, hostales, empresas de hospitalidad y turismo. La lista de víctimas incluye más de 20 hoteles ubicados en Brasil, Argentina, Bolivia, Chile, Costa Rica, Francia, Italia, México, Portugal, España, Tailandia y Turquía. El objetivo de la campaña es robar datos de tarjetas de huéspedes y viajeros gestionados por hoteles, así como datos de tarjetas de crédito recibidos de agencias de viajes populares en línea como Booking.com.

Los atacantes usaron correos electrónicos de phishing con documentos de Word, Excel o PDF adjuntos.  Según el equipo de Kaspersky, los mensajes de phishing fueron bien escritos y detallados. Los atacantes también usaron dominios  para hacerse pasar por compañías reales, adjuntando a los mensajes documentos legales de búsqueda convincente.

“En la campaña RevengeHotels, los archivos descargados son archivos binarios .NET protegidos con Yoda Obfuscator. Después de desempacarlos, el código es reconocible como RAT RevengeRAT comercial ”, escribieron los investigadores.

Los expertos también encontraron un módulo adicional llamado ScreenBooking diseñado para capturar datos de tarjetas de crédito al monitorear si el usuario está navegando por la página web. Los archivos descargados en los ataques observados en 2016 se dividieron en dos módulos, una puerta trasera y un módulo para capturar capturas de pantalla. Con el tiempo, estos módulos se fusionaron en un solo módulo de puerta trasera que puede recopilar datos del portapapeles y capturar capturas de pantalla, avanza Seguridad y Firewall.

El actor de amenazas de ProCC utiliza una puerta trasera que está más personalizada que la utilizada por RevengeHotels. Tiene la capacidad de recopilar datos del portapapeles y la cola de impresión, y capturar capturas de pantalla. "Debido a que el personal a cargo de confirmar las reservas generalmente necesita extraer los datos de la tarjeta de crédito de los sitios web de la OTA, es posible recopilar los números de tarjeta monitoreando el portapapeles y los documentos enviados a la impresora", explicó Kaspersky en su informe.

“RevengeHotels es una campaña que ha estado activa desde al menos 2015, que revela diferentes grupos que usan malware RAT tradicional para infectar a empresas en el sector de la hospitalidad. Si bien existe un marcado interés en las víctimas brasileñas, nuestra telemetría muestra que su alcance se ha extendido a otros países de América Latina y más allá ”, concluye el informe.