Hoteles de España son atacados por la campaña RevengeHotel

  • Endpoint

RevengeHotels es una campaña en la que participan varios grupos con la intención de infectar a empresas hoteleras mediante la utilización de Troyanos de Acceso Remoto (RATs). Los datos de las tarjetas de crédito de los viajeros alojados corren el riesgo de ser sustraídos y vendidos.

Activa desde 2015, RevengeHotels es una campaña de malware en la que participan varios grupos, entre ellos RevengeHotels y ProCC, con el objetivo de infectar a empresas hoteleras mediante la utilización de Troyanos de Acceso Remoto (RATs). La campaña ha aumentado de forma significativa su presencia en 2019, e investigadores de Kaspersky han confirmado que más de 20 hoteles en Europa, Asia y América Latina han sido víctimas de ataques dirigidos.

El principal vector de ataque en esta campaña son emails con archivos adjuntos maliciosos en formato Word, Excel o PDF. Algunos de ellos explotan la vulnerabilidad CVE-2017-0199 mediante scripts VBS y PowerShell, y posteriormente instalando versiones personalizadas de varios RATs y otros archivos de malware personalizados, tales como ProCC, en el equipo de las víctimas. De esta forma pueden ejecutar comandos y configurar el acceso remoto a los sistemas infectados.

Cada email de spear-phishing ha sido diseñado al detalle y habitualmente se hace pasar por remitentes reales de organizaciones legítimas que pedían efectuar reservas para grandes grupos de turistas. Incluso los usuarios más avezados podían caer víctima del engaño y abrir y descargar los archivos adjuntos. Una vez infectado el equipo, el grupo de cibercriminales podía acceder al mismo de forma remota o incluso, según los investigadores de Kaspersky, vender el acceso remoto a las recepciones y a los datos que contienen esos sistemas en foros criminales a través de una suscripción.

El malware recogía datos del portapapeles de las recepciones, de la cola de impresión de las impresoras o capturas de pantalla. En este último caso, el malware detonaba la función de captura de pantalla mediante la utilización de determinadas palabras en inglés o en portugués. Los datos también podían verse comprometidos porque el personal de los hoteles muchas veces copiaba los datos de tarjeta de crédito de sus clientes de las bases de datos de las agencias de viaje online para poder efectuar el cargo.

Han sido objetivo de estos ataques hoteles en España, Argentina, Bolivia, Brasil, Chile, Costa Rica, Francia, Italia, México, Portugal, Tailandia y Turquía. Por otra parte, y según los datos extraídos de Bit.ly, un servicio para acortar los enlaces de páginas web que los atacantes utilizaban para diseminar enlaces maliciosos, los investigadores de Kaspersky han llegado a la conclusión de que usuarios de muchos países podrían haber accedido al enlace malicioso, un factor que parece indicar que el número de países con víctimas potenciales podría ser mayor.