- Microsoft Threat Intelligence advierte sobre una campaña de phishing dirigida a trabajadores hoteleros en Europa y Asia con correos electrónicos con temas de quejas de huéspedes
- Los atacantes abusan de servicios como Calendly y redirigen a Google para eludir los controles de autenticación, entregando zips con temas fotográficos que instalan un implante permanente de Node.js.
- desactiva Malware Defender, ejecuta balizas C2, recopila información del sistema y fuerza el apagado; Los síntomas incluyen actividad inusual de PowerShell, ejecución de Node.js y entradas de registro sospechosas
Los piratas informáticos se están afianzando en hoteles y empresas hoteleras de toda Europa y Asia, pero nadie sabe realmente para qué, al menos no todavía.
Esto es según Microsoft Threat Intelligence, quien recientemente publicó un nuevo informe que dice que desde abril ha estado rastreando una campaña activa de phishing. En esta campaña, los atacantes anónimos atacan al personal de recepción, recepción y reservas con correos electrónicos sobre quejas de los huéspedes, condiciones de las habitaciones, infestaciones de chinches, consultas sobre reservas y cosas similares.
Los mensajes enviados en diferentes idiomas (danés, holandés, japonés) no se entregan directamente. En cambio, los delincuentes abusan de servicios legítimos como Calendly y la infraestructura de redireccionamiento de Google, que les ayudan a pasar las pruebas de autenticación SPF, DKIM y DMARC.
Defensor táctico
Este “lavado de autenticación”, como lo expresa Microsoft, da como resultado archivos ZIP con temas fotográficos entregados directamente a sus víctimas. Los archivos contienen un archivo de acceso directo a imágenes falsas (.LNK) que, a simple vista, hace que las imágenes PNG parezcan maliciosas. Sin embargo, estos archivos inician una sofisticada cadena de infección de varias etapas que instala un implante persistente basado en Node.js.
Una vez implementado, el malware modifica Microsoft Defender para excluirse a sí mismo (y a otros ejecutables con nombres aleatorios) de los procesos escaneados, descarga cargas útiles adicionales y se copia en varias ubicaciones.
En los sistemas comprometidos, Microsoft observó que el malware ejecutaba balizas de comando y control, recopilaba información ambiental, como los detalles de la IP pública de las víctimas, iniciaba sesiones de navegador sin cabeza y, en algunos casos, forzaba el cierre inmediato del sistema. Aunque no dijo cuál era el objetivo de la campaña, indicó una fase de recuperación que generalmente precede a un ataque de malware o ransomware más disruptivo.
Microsoft aconseja a las organizaciones centrarse en identificar el comportamiento de la campaña en lugar de indicadores individuales. Los síntomas clave incluyen archivos ZIP con temas fotográficos, actividad inusual de PowerShell, ejecución inesperada de Node.js desde el directorio de perfiles de usuario, compilación de .NET iniciada por PowerShell y cambios de exclusión de Defender.
Además, ejecutables aleatorios de carpetas temporales, ejecuciones sospechosas y entradas de registro de ejecuciones, conexiones salientes a puertos de campaña no estándar, conexiones a dominios .cfd recién registrados y actividad del navegador sin cabeza después de comandos de apagado forzado.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréguenos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
