RevengeHotels活動從全球酒店前台竊取客戶信用卡數據
RevengeHotels是一款主要針對巴西酒店業的網路犯罪惡意軟體,其目標是獲取酒店系統中存儲的客人的信用卡數據,以及從諸如Booking.com之類的在線旅行社(OTA)接收的信用卡數據。卡巴斯基已確認有超過20家酒店成為此次行動的受害者,它們分布在巴西的八個州,另外還有其他一些國家或地區受到影響,包括南美的阿根廷、玻利維亞、智利、哥斯大黎加,歐洲的法國、義大利、墨西哥、葡萄牙、西班牙,以及亞洲的泰國和土耳其等國家。
RevengeHotels通過帶有惡意附件的釣魚郵件感染受害者,其中一些版本利用了漏洞CVE-2017-0199,該漏洞是2017四月FireEye公布的一個OFFICE 0day,在無需用戶交互的情況下,打開word文檔就可以通過hta腳本執行任意代碼。RevengeHotels會在受害者的計算機中安裝定製版本的RevengeRAT、NjRAT、NanoCoreRAT、888 RAT以及其他一些定製惡意軟體。其背後的運營者自2015年以來一直活躍,但在2019年增大了攻擊力度。
針對酒店行業的黑客組織除了RevengeHotels之外,還有另一夥使用的基礎設施、工具和技術都與之相似的組織,我們將其命名為ProCC。這些組織都善於運用社會工程詐騙手段,以大額訂單為名誘使目標上鉤,他們還出售受影響系統的憑證,允許其他網路罪犯遠程訪問受影響的酒店前台。
一年多來,我們一直在監控這些組織的活動和他們製造的新惡意軟體。可以確定的是,至少有兩個不同的組織正集中精力攻擊這個領域,此外還有第三個組織,不過尚不清楚它的重點是只針對這個領域,還是也在實施了其他類型的攻擊。
釣魚郵件
這些組織在行動中使用的策略之一是針對性很強的魚叉式網路釣魚郵件,通過註冊近似域名來冒充合法公司,且郵件格式行文也是盡量體現出了規範和專業,以政府機構或私人企業的名義跟酒店溝通房位報價,不過仔細看的話,還是能發現發送電子郵件的域名與實際的域名之間的細微區別。
圖1.一封據稱是從律師事務所發送的電子郵件
上圖是一封用葡萄牙語寫成的釣魚郵件,附帶了一個惡意附件,文件中的律師事務所是真實存在的,而發送郵件的域名是攻擊者是在前一天註冊的近似域名,為了增加可信度,攻擊者甚至在報價中附上了一份國家法人登記卡(CNPJ)的複印件。
附件Reserva Advogados Associados.docx (Associates reserve .docx)是一個惡意的Word文件,它通過模板注入來刪除遠程OLE對象來執行宏代碼。遠程OLE文檔中的宏代碼包含PowerShell命令,這些命令下載並執行最終的有效負載。
這則用葡萄牙語寫成的魚叉式網路釣魚郵件帶有惡意文件,附加了一個真實的律師辦公室的名稱,而該郵件的域發件人是在一天前使用錯字域名註冊的。該小組進一步進行了社會工程工作:為了使酒店人員確信他們的要求是合法的,報價單上附有國家法律實體註冊卡(CNPJ)的副本。
附加文件Reserva Advogados Associados.docx(律師協會預定.docx)是一個惡意Word文件,該文件通過模板注入刪除遠程OLE對象以執行宏代碼,宏代碼包含PowerShell命令以下載並執行最終payload。
圖2.嵌入式宏執行的PowerShell命令
下載的文件是受Yoda Obfuscator保護的.NET二進位文件,解壓後代碼被識別為RevengeRAT。該組織還編寫的另一個名為ScreenBooking的模塊用於捕獲信用卡數據,它監視用戶是否正在瀏覽網頁。在2016年的初始版本中,下載的文件分為兩個模塊:後門和捕獲屏幕截圖的模塊。最近,我們注意到這些模塊已合併到單個後門模塊中,該模塊可從剪貼板收集數據並捕獲屏幕截圖。
在此示例中,攻擊者正在監視的網頁是booking.com,更具體地說,是包含信用卡詳細信息的頁面。代碼專門用於尋找葡萄牙語和英語的數據,從而使攻擊者能夠從用這些語言編寫的網頁中竊取信用卡數據。
圖3.惡意軟體搜索的標題,以捕獲屏幕內容
而在ProCC的行動中,下載的文件是Delphi二進位文件,安裝的後門要比RevengeHotels使用的後門更有針對性:它是從零開始開發的,能夠從剪貼板和印表機後台處理程序中收集數據,捕獲屏幕截圖。由於負責確認預訂的工作人員通常需要從OTA網站上提取信用卡數據,因此可以通過監視剪貼板和發送給印表機的文檔來收集卡號。
圖4.當用戶將某些內容複製到剪貼板或發出列印請求時,將捕獲屏幕截圖
出售酒店系統憑證
根據地下論壇的說法,這些組織還通過感染前台計算機獲取酒店管理系統的憑據,也可以從中竊取信用卡詳細信息,同時還出售對這些系統的遠程訪問許可權,讓其他人也可以訪問。
圖5.犯罪分子出售酒店預訂系統遠程訪問許可權
犯罪分子吹捧信用卡數據質量高、可靠,因為這些數據來自可信的來源。
圖6.售賣竊取數據
受害者範圍
卡巴斯基估計此攻擊已遍及全球,但根據遙測數據只能確認以下國家/地區的受害者:阿根廷、玻利維亞、巴西、智利、哥斯大黎加、法國、義大利、墨西哥、葡萄牙、西班牙、泰國和土耳其。
圖7.受害者分布
根據Bit.ly統計數據,我們可以看到許多其他國家的人也有訪問惡意鏈接。數據表明實際訪問的用戶所在國家數量比我們統計的要多。
圖8.RevengeHotels行動中各個國家點擊惡意鏈接的數量
總結
RevengeHotels是一起至少自2015年以來一直活躍的攻擊行動,其主要目標集中在巴西,目前已擴展到拉丁美洲及其他國家地區。
如果您擔心自己的旅遊安全,強烈建議您使用虛擬付款卡在OTA上預訂,這種卡在一次收費後就會失效,在付款或在酒店結賬時也最好使用虛擬錢包,例如Apple Pay,Google Pay等。如果很難實現,那麼最好選擇次要的信用卡,因為你永遠不知道酒店的系統是否乾淨。
卡巴斯基所有產品將以下威脅檢測為:
HEUR:Backdoor.MSIL.Revenge.gen
HEUR:Trojan-Downloader.MSIL.RevengeHotels.gen
HEUR:Trojan.MSIL.RevengeHotels.gen
HEUR:Trojan.Win32.RevengeHotels.gen
HEUR:Trojan.Script.RevengeHotels.gen
參考來源:https://securelist.com/revengehotels/95229/