RevengeHotels: massiva campagna di attacco colpisce alberghi in vari stati (Italia compresa)

Kaspersky ha pubblicato ieri un interessante report riguardante una campagna massiva campagna di attacco contro strutture ricettive (alberghi, ostelli, bed and breakfast) in varie nazioni del mondo. La maggior parte delle infezioni si registrano in Brasile, ma risultano colpite decine di strutture anche in Argentina, Bolivia, Cile, Francia, Messico, Portogallo, Spagna e anche in Italia. Il tracciamento dei link consentito dal servizio di abbreviazione link Bit.ly mostra come vi siano migliaia di click anche da altri paesi: la lista, insomma, è destinata ad allungarsi.

L’attacco mira a infettare i sistemi delle strutture ricettive per sottrarre i dati delle carte di credito di ospiti e viaggiatori, ma anche per rubare le credenziali e i dati finanziari ricevuti da popolari agenzie di viaggio online come Booking.com.

Il vettore di attacco è banale, se paragonato all’efficacia che questa campagna di attacco sta registrando. E’ la classica email di phishing contenete allegati compromessi, solitamente contenenti file dannosi Word, Excel o Pdf. Alcuni di questi eseguono l’exploit della vulnerabilità CVE-2017-0199: l’exploit è eseguito utilizzando script VBS e PowerShell. Se l’exploit ha successo vengono installate versioni riadattate su misura per il tipo di struttura di vari Remote Access trojan (RAT) come RevengeRAT, NjRAT, NanoCoreRAT, 888 RAT. Insomma, se il dipendente al front desk dell’albergo riceve e apre questa email, non fa altro che consentire agli attaccanti di ricavarsi un accesso al sistema, utilizzabile in qualsiasi momento e continuativo nel tempo.

Una analisi approfondita del traffico collegato a questa campagna mostra come, in realtà, siano addirittura due i gruppi attivi, che utilizzano strumenti e infrastrutture separate ma molto simili tra loro: RevengeHotel e ProCC. Non solo: le credenziali rubate dai sistemi infetti sono già state ritrovate in vendita nel dark web.

Le email vettore

In dettaglio, le email vettore sono messaggi di spear-phishing: i mittenti si “travestono” da aziende legittime e realmente esistenti, il testo è scritto correttamente in varie lingue e il corpo messaggi contiene molti molti dettagli, che rafforzano la credibilità della comunicazione stessa.

revengehotels-1

Sopra è visibile una delle email di questa campagna: è una falsa richiesta di prenotazione da parte di uno studio legale realmente esistente, scritta in portoghese. Il dominio di invio dell’email risulta registrato il giorno precedente l’invio della email e emula quello dello studio legale. Il file allegato si chiama “Reserva Advogados Associados.docx” ed è un file Word che contiene una macro dannosa da eseguire. La macro è responsabile del download ed esecuzione del payload finale.

I malware diffusi

I file scaricati nella campagna del gruppo RevengeHotels sono file binari .NET, il cui codice è pesantemente offuscato. Una volta estratti e deoffuscati è stato possibile, per i ricercatori, individuare il malware diffuso, una versione del trojan di accesso remoto RevengeRAT. A questo trojan è stato aggiunto un modulo ulteriore, chiamato ScreenBooking, che è responsabile proprio del furto dei dati delle carte di credito.

Vecchie campagne, molto simili, prevedevano il download di file diversi per due diversi moduli: una backdoor per l’accesso al sistema e un modulo per catturare le schermate. La nuova campagna ha semplicemente raccolto in un unico modulo sia la backdoor, che i moduli per la raccolta dati dagli appunti e dall’acquisizione delle schermate.

L’altro gruppo, ProCC, usa un meccanismo di infezione del tutto simile nelle componenti essenziali, divergente su alcuni dettagli. Ad esempio i file scaricati sono binari Delphi. La backdoor installata è più personalizzata rispetto a quella usata dal primo gruppo: qui i dati della carta di credito sono rubati monitorando gli appunti del sistema e i documenti inviati alle stampanti.

E non è tutto…

Scavano nei vari forum “del mondo sommerso”, i ricercatori hanno scoperto come gli attaccanti cerchino anche di infettare le macchine della reception per individuare le credenziali di accesso dei software di amministrazione della struttura ricettiva: possono così rubare anche altri dati. Non solo: alcuni degli attaccanti non stanno vendendo soltanto i dati rubati, ma anche, direttamente, gli accessi ai sistemi tramite le backdoor installate. Chi acquista gli accessi potrà quindi continuare a rubare dati in autonomia, almeno finchè la backdoor sarà operante.

Dove sono le vittime

In base ai dati telemetrici raccolti e dai dati estratti dalle statistiche di Bit.ly, Kaspersky ha reso una mappa che distribuisce le varie vittime. La mappa subirà sicuramente un aggiornamento, dato che si registrano nuove vittime in nuovi stati.