Gli attacchi contro gli hotel di lusso non si arrestano: dopo le campagne contro MGM Grand, Ceasars e altre catene di alberghi, i ricercatori di sicurezza di Cofense hanno individuato un nuova una serie di attacchi di phishing che mirano a diffondere un information stealer nei sistemi degli hotel.
I nuovi attacchi cominciano con un’email “di ricognizione” che gli attaccanti usano per controllare se l’account target è attivo. Le email contengono delle semplici richieste di informazioni su camere o servizi dell’hotel; se ottiene una risposta, l’attaccante procede con l’email di phishing vera e propria, contenente un URL malevolo usato per scaricare i file del malware.
I ricercatori sottolineano che le tecniche utilizzate in queste campagne sono più sofisticate di quelle usate nei comuni attacchi di phishing. Gli attaccanti hanno sviluppato tecniche in grado di eludere i controlli di sicurezza delle email, arrivando facilmente al loro obiettivo.
Credits: champlifezy- Depositphotos
I file del malware, scaricati dall’URL all’interno della mail, si trovano su domini affidabili e conosciuti come Google Drive, Dropbox e DiscordApp. L’URL scarica un archivio protetto da password e di dimensione relativamente piccola (massimo 1GB), altre due tecniche che consentono di superare i controlli di gran parte dei tool di sicurezza.
I malware usati nella campagna
Per colpire le catene di hotel di lusso, gli attaccanti hanno usato cinque malware, tutti information stealer in grado di sottrarre informazioni sensibili e in alcuni casi anche portafogli di criptovalute.
Uno dei malware è Lumma Stealer, usato non solo per raccogliere informazioni sensibili come username e password, ma anche per eseguire altri payload malevoli. Un altro infostealer usato dagli attaccanti è Vidar Stealer, capace di ottenere informazioni su carte di credito e password memorizzate sia in locale che nei browser.
I ricercatori hanno individuato anche RedLine Stealer, uno degli infostealer più famosi e ricco di plugin. RedLine Stealer è in grado di collezionare informazioni da diversi programmi e di sottrarre i dati dei portafogli di criptovalute; inoltre, viene usato anche per eseguire payload aggiuntivi che diffondono ransomware e malware più sofisticati.
Pixabay
Ci sono poi due infostealer meno conosciuti: Stealc e Spidey Bot. Il primo è un malware nuovo, osservato per la prima volta all’inizio di quest’anno, dalle funzionalità analoghe a RedLine e Vidar; il secondo è in uso dal 2019 ed è in grado di sottrarre dati sensibili da diverse sorgenti, compresi account di VPN, di email e di videogiochi.
Dal momento che il successo delle operazioni dipende dall’interazione iniziale con gli utenti, la miglior difesa resta quella di educare i dipendenti sull’esistenza di queste campagne e sulle tecniche di phishing. Un’altra buona pratica, in questo caso, consiste nel bloccare i download da tutti i siti che la compagnia non usa di solito, anche se sono legittimi.
Condividi l’articolo
Articoli correlati
Altro in questa categoria
https://www.securityinfo.it/2023/09/29/gli-hotel-di-lusso-rimangono-tra-gli-obiettivi-principali-dei-cybercriminali/?utm_source=rss&utm_medium=rss&utm_campaign=gli-hotel-di-lusso-rimangono-tra-gli-obiettivi-principali-dei-cybercriminali