Gli hotel di lusso rimangono tra gli obiettivi principali dei cybercriminali

Set 29, 2023 Attacchi, In evidenza, Malware, News, Phishing, RSS

Gli attacchi contro gli hotel di lusso non si arrestano: dopo le campagne contro MGM Grand, Ceasars e altre catene di alberghi, i ricercatori di sicurezza di Cofense hanno individuato un nuova una serie di attacchi di phishing che mirano a diffondere un information stealer nei sistemi degli hotel.

I nuovi attacchi cominciano con un’email “di ricognizione” che gli attaccanti usano per controllare se l’account target è attivo. Le email contengono delle semplici richieste di informazioni su camere o servizi dell’hotel; se ottiene una risposta, l’attaccante procede con l’email di phishing vera e propria, contenente un URL malevolo usato per scaricare i file del malware.

I ricercatori sottolineano che le tecniche utilizzate in queste campagne sono più sofisticate di quelle usate nei comuni attacchi di phishing. Gli attaccanti hanno sviluppato tecniche in grado di eludere i controlli di sicurezza delle email, arrivando facilmente al loro obiettivo.

I file del malware, scaricati dall’URL all’interno della mail, si trovano su domini affidabili e conosciuti come Google Drive, Dropbox e DiscordApp. L’URL scarica un archivio protetto da password e di dimensione relativamente piccola (massimo 1GB), altre due tecniche che consentono di superare i controlli di gran parte dei tool di sicurezza.

I malware usati nella campagna

Per colpire le catene di hotel di lusso, gli attaccanti hanno usato cinque malware, tutti information stealer in grado di sottrarre informazioni sensibili e in alcuni casi anche portafogli di criptovalute.

Uno dei malware è Lumma Stealer, usato non solo per raccogliere informazioni sensibili come username e password, ma anche per eseguire altri payload malevoli. Un altro infostealer usato dagli attaccanti è Vidar Stealer, capace di ottenere informazioni su carte di credito e password memorizzate sia in locale che nei browser.

I ricercatori hanno individuato anche RedLine Stealer, uno degli infostealer più famosi e ricco di plugin. RedLine Stealer è in grado di collezionare informazioni da diversi programmi e di sottrarre i dati dei portafogli di criptovalute; inoltre, viene usato anche per eseguire payload aggiuntivi che diffondono ransomware e malware più sofisticati.

Ci sono poi due infostealer meno conosciuti: Stealc e Spidey Bot. Il primo è un malware nuovo, osservato per la prima volta all’inizio di quest’anno, dalle funzionalità analoghe a RedLine e Vidar; il secondo è in uso dal 2019 ed è in grado di sottrarre dati sensibili da diverse sorgenti, compresi account di VPN, di email e di videogiochi.

Dal momento che il successo delle operazioni dipende dall’interazione iniziale con gli utenti, la miglior difesa resta quella di educare i dipendenti sull’esistenza di queste campagne e sulle tecniche di phishing. Un’altra buona pratica, in questo caso, consiste nel bloccare i download da tutti i siti che la compagnia non usa di solito, anche se sono legittimi.

• hotel di lusso, infostealer, malware, payload, Phishing, Ransomware