Un malware ataca al sector hotelero y sus cobros con tarjetas de crédito

La investigación realizada por Kaspersky sobre la campaña RevengeHotels, dirigida al sector hotelero, ha confirmado que más de 20 hoteles en América Latina, Europa y Asia han sido víctimas de ataques con malware, e incluso hay más hoteles potencialmente afectados en todo el mundo.

Los datos de las tarjetas de crédito de los viajeros que se almacenan en un sistema de administración del hotel, hasta aquellos recibidos por parte de las agencias de viajes en línea (OTAs, por sus siglas en inglés), corren el riesgo de ser robados y vendidos a delincuentes en todo el mundo.

RevengeHotels es una campaña activa desde 2015 pero que ha aumentado su presencia en 2019; incluye diferentes grupos que utilizan troyanos de acceso remoto tradicionales (RATs, por sus siglas en inglés) para infectar a las empresas del sector hotelero. Al menos dos grupos, RevengeHotels y ProCC, fueron identificados como parte de la campaña; sin embargo, más grupos cibercriminales están potencialmente involucrados.

El principal vector de ataque en esta campaña son los correos electrónicos con documentos maliciosos de Word, Excel o PDF adjuntos. Algunos de ellos explotan el CVE-2017-0199, lo cargan usando guiones de VBS y PowerShell y entonces instalan versiones especiales de varios RATs y otro malware adecuado, como ProCC, en la máquina de la víctima, que luego podría ejecutar órdenes y establecer el acceso a distancia al sistema infectado.

Cada correo electrónico de spear phishing fue diseñado con especial atención a los detalles y usualmente se hace pasar por personas reales de organizaciones legítimas que hacen una solicitud de reservación falsa para un grupo grande de personas. Vale la pena señalar que incluso los usuarios cuidadosos podrían ser engañados para hacerles abrir y descargar los archivos adjuntos en esos correos electrónicos, ya que incluyen una gran cantidad de detalles (por ejemplo, copias de documentos legales y razones para reservar en el hotel) y parecen convincentes. El único detalle que revelaría al atacante sería un dominio de la organización con errores tipográficos deliberados.