Cyberangriffe auf Hotel- und Gastgewerbe: Täter nisten sich ein

Microsoft hat eine Angriffswelle auf das Hotel- und Gastgewerbe in Asien und Europa beobachtet. Sie läuft bereits seit April dieses Jahres. Die Quelle der Angriffe mag Microsoft jedoch nicht genau einordnen – es bleibt unklar, wer hinter den Attacken steckt.

Microsoft berichtet in einem Blogbeitrag, dass die Malware-Kampagne auf .zip-Dateien mit Foto-Namensschema setzt. Die laden potenzielle Opfer mit dem Webbrowser herunter. In den Archiven finden sich Shortcut-Dateien (Verknüpfungen), die als Bilder getarnt sind. Sofern ein Opfer diese etwa mittels Doppelklick startet, fangen diese eine Angriffskette an, die auf verschleierter PowerShell fußt. In der Folge installiert sie ein Node.js-Implantat, nistet sich zweifach in der Registry ein, um Persistenz zu erreichen und kommuniziert mit den Command-and-Control-Servern (C2) über Ports abseits der Standardports.

Kampagnen-Ziel unklar

Die IT-Sicherheitsforscher von Microsoft führen weiter aus, dass die Täter die betroffenen Maschinen nach der Infektion am C2-Server anmelden. Teils erzwingen sie das Herunterfahren der Systeme. Außerdem kompilieren sie Binärdateien im Portable-Executable-Format (PE). Allerdings bleibt den IT-Forschern zufolge unklar, was das eigentliche Ziel der Angreifer ist. Durch die Verschleierung und das Einnisten gehen sie jedoch davon aus, dass sie Nachfolge-Aktivitäten auf den kompromittierten Systemen planen.

Die Drahtzieher hinter der Kampagne haben im Mai dieses Jahres legitime Dienste missbraucht, um Phishing-E-Mails an die Opfer zu senden. Darunter die Cloud-Plattform Calendly und Googles URL-Redirector-Dienst. In Anlehnung an „Geldwäsche“ bezeichnen Microsofts IT-Forscher das als „Authentifizierungswäsche“. Die Phishingmails erhalten dadurch einen seriöseren Anstrich. Die Betrugsmails waren mehrsprachig, mit unterschiedlichen Ködern und Betreffzeilen. Thematisch gaben die Angreifer vor, es gehe um Beschwerden von Gästen und Zimmeranfragen. Das soll die Angestellten der Hotel- und Gastwirtschaftsbetriebe dazu bringen, die E-Mails zu lesen und die enthaltenen bösartigen Links und Dateien zu öffnen.

In den zwei beobachteten Wellen der Kampagne kamen zunächst bösartige Dateien nach dem Namensschema „IMG.png.lnk“ zum Einsatz, in der zweiten hingegen „PHOTO.png.lnk“. Die zweite Welle war noch etwas ausgefeilter und kompiliert dynamisch eine .NET-DLL mittels „csc.exe“. Die C2-Infrastruktur haben die Täter zudem auf „.cfd“-Domains ausgeweitet, die hinter Cloudflare-Schutz gehostet werden. Der Blogbeitrag beschreibt die einzelnen Stufen der Angriffe für Interessierte im Detail.

Während Microsofts IT-Forscher sich nicht sicher sind, was die Angreifer bezwecken, fällt die Kampagne in die Zeit, in der viele Menschen ihren Urlaub buchen. Uns erreichen noch immer zahlreiche Hinweise, dass Leser nach Buchung eines Hotelzimmers Phishing-WhatsApp-Nachrichten mit echten Daten und Bezug auf die Buchung erhalten. Im März hatten etwa die Best Western Hotels vor Cyberangriffen auf touristische Buchungssysteme gewarnt. Im April wurde bekannt, dass auch bei Booking.com Zugriffe von unbefugten Kriminellen entdeckt wurden.

(dmk)