Gli hotel di lusso rimangono tra gli obiettivi principali dei cybercriminali

Set 29, 2023 Marina Londei Attacchi, In evidenza, Malware, News, Phishing, RSS 0

Gli attacchi contro gli hotel di lusso non si arrestano: dopo le campagne contro MGM Grand, Ceasars e altre catene di alberghi, i ricercatori di sicurezza di Cofense hanno individuato un nuova una serie di attacchi di phishing che mirano a diffondere un information stealer nei sistemi degli hotel.

I nuovi attacchi cominciano con un’email “di ricognizione” che gli attaccanti usano per controllare se l’account target è attivo. Le email contengono delle semplici richieste di informazioni su camere o servizi dell’hotel; se ottiene una risposta, l’attaccante procede con l’email di phishing vera e propria, contenente un URL malevolo usato per scaricare i file del malware.

I ricercatori sottolineano che le tecniche utilizzate in queste campagne sono più sofisticate di quelle usate nei comuni attacchi di phishing. Gli attaccanti hanno sviluppato tecniche in grado di eludere i controlli di sicurezza delle email, arrivando facilmente al loro obiettivo.

Credits: champlifezy- Depositphotos

I file del malware, scaricati dall’URL all’interno della mail, si trovano su domini affidabili e conosciuti come Google Drive, Dropbox e DiscordApp. L’URL scarica un archivio protetto da password e di dimensione relativamente piccola (massimo 1GB), altre due tecniche che consentono di superare i controlli di gran parte dei tool di sicurezza.

I malware usati nella campagna

Per colpire le catene di hotel di lusso, gli attaccanti hanno usato cinque malware, tutti information stealer in grado di sottrarre informazioni sensibili e in alcuni casi anche portafogli di criptovalute.

Uno dei malware è Lumma Stealer, usato non solo per raccogliere informazioni sensibili come username e password, ma anche per eseguire altri payload malevoli. Un altro infostealer usato dagli attaccanti è Vidar Stealer, capace di ottenere informazioni su carte di credito e password memorizzate sia in locale che nei browser.

I ricercatori hanno individuato anche RedLine Stealer, uno degli infostealer più famosi e ricco di plugin. RedLine Stealer è in grado di collezionare informazioni da diversi programmi e di sottrarre i dati dei portafogli di criptovalute; inoltre, viene usato anche per eseguire payload aggiuntivi che diffondono ransomware e malware più sofisticati.

Pixabay

Ci sono poi due infostealer meno conosciuti: Stealc e Spidey Bot. Il primo è un malware nuovo, osservato per la prima volta all’inizio di quest’anno, dalle funzionalità analoghe a RedLine e Vidar; il secondo è in uso dal 2019 ed è in grado di sottrarre dati sensibili da diverse sorgenti, compresi account di VPN, di email e di videogiochi.

Dal momento che il successo delle operazioni dipende dall’interazione iniziale con gli utenti, la miglior difesa resta quella di educare i dipendenti sull’esistenza di queste campagne e sulle tecniche di phishing. Un’altra buona pratica, in questo caso, consiste nel bloccare i download da tutti i siti che la compagnia non usa di solito, anche se sono legittimi.

Condividi l'articolo