概述
SophosX-Ops警告酒店行业,针对全球酒店使用密码窃取恶意软件的活动正在使用电子邮件投诉服务问题或信息请求作为社会工程诱饵,以获得活动目标的信任,然后再向他们发送指向恶意负载的链接。
攻击者使用的方法类似于SophosX-Ops在2023年4月美国联邦报税截止日期前几个月发现的方法:他们最初通过电子邮件联系目标,该电子邮件只包含文本,但主题是面向服务的企业(如酒店)希望快速响应。只有在目标回复威胁参与者的初始电子邮件后,威胁参与者才会发送后续消息,链接到他们声称的有关其请求或投诉的详细信息。
社会工程学的角度涵盖了各种各样的主题,但可以分为两个广义的类别:对发件人声称在最近住宿中遇到的严重问题的投诉,或要求提供信息以帮助潜在的未来预订。
SophosX-Ops已经向零售和酒店信息共享和分析中心(RH-ISAC)的代表介绍了在繁忙的年终假日旅游季节针对其行业的这次攻击。
威胁行为者写信询问
“投诉”式信息的内容范围从对酒店工作人员暴力袭击或偏执行为的指控,到声称“客人”的物品被盗或丢失。“信息请求”类型的消息包括要求为严重过敏的人提供住宿的电子邮件,有关酒店如何支持商务会议的消息,或询问残疾或老年客人在酒店内的无障碍设施。
在这种情况下,一旦酒店代表回应了最初询问,要求提供更多信息,威胁行为者就会回复一条消息,攻击者声称,该消息链接到支持其主张或请求的文件或证据。“文档”不是实际的文档,而是恶意软件有效负载,包装在受密码保护的存档文件中。
这些链接指向公共云存储服务,例如GoogleDrive,邮件正文包含一个密码(通常是数字),系统会提示收件人使用该密码打开下载链接另一端的Zip或Rar存档。
网络中恶意电子邮件的常见特征
攻击者发送给酒店员工的消息具有一些特征,使他们更加可疑,收件人应格外小心。
与许多成功的恶意垃圾邮件活动一样,这些消息旨在利用情绪和向目标提供帮助的愿望——这是在酒店行业工作的成功人士的自我选择特征。
在一个例子中,威胁行为者告诉酒店工作人员,他们在一个房间里留下了一个摄像头,里面有一个最近去世的亲戚的照片,并要求酒店帮助定位摄像头。
当酒店工作人员回复并询问预订的房间号和姓名时,威胁行为者假装生气地回答。
“我已经告诉过你我家人的悲痛,我失去了一件非常珍贵的东西,上面有我母亲最后的记忆,如果我给你发一张相机的照片,你能帮帮我吗”,以及一个指向Google Drive上托管的文件的链接,以及链接下方的文字“密码:123456”。
在另一个例子中,威胁行为者向一家酒店发送电子邮件并要求他们回复,因为他们“无法通过网站或电话与您联系”。当酒店的预订代理要求他们提供有关其计划的更多详细信息时,威胁行为者回复,声称他们已经通过网站预订了房间,但需要安排残疾家庭成员的住宿。他们的第二封电子邮件链接到托管在Google云端硬盘上的zip文件,他们声称其中包含“医疗记录和医生的建议”,并且再次提供了打开该文件所需的123456密码。
在那条消息中,威胁行为者添加了以下内容:“我丈夫提到这个GoogleDrive链接可能只与Windows计算机兼容。该文件包含重要详细信息,包括我们的预订号码和付款证明。熟悉这些细节至关重要。
在可能是最令人震惊的例子中,威胁行为者要求与经理联系以解决他们在酒店遇到的问题。经理回复后,威胁行为者写道“我没想到会有这么糟糕的酒店”,描述了一次可怕的(虚构的)经历,包括发霉的墙壁,“几乎所有家具上的臭虫”,“大大恶化了我的住宿舒适度”,以及一名使用种族主义绰号的员工。该电子邮件链接到托管在Mega.nz云托管提供商上的RAR存档文件,密码也为123456,发件人声称其中包含客人与工作人员之间对峙的视频。
这些电子邮件都编造了一个借口,通过云存储、GoogleDrive、Mega.nz、Dropbox或聊天平台Discord内容托管空间中的地址与酒店工作人员共享文档。从这些消息链接的恶意负载以Zip或Rar压缩格式压缩,并使用以下密码列表之一。
- 1111
- 123456
- 2023
- 信息2023
- 旅馆
- 501949
我们看到了威胁行为者创作的更多例子。电子邮件抱怨客人感染了各种疾病;担心对清洁产品的过敏反应;关于在酒店中毒的指控;床垫、墙壁或浴室上的污渍;房间里家具上的昆虫;钱包、戒指、昂贵的手表或相机被遗忘或从房间里偷走;需要为行动不便或无法使用技术的客人提供住宿或帮助;以及工作人员针对客人的粗鲁、暴力或偏执行为。
旨在规避沙盒的有效载荷
创建恶意软件有效负载本身的目的是使扫描或检测恶意内容变得更加困难。
这些存档都受密码保护,这可以防止托管它们的云服务随意扫描内容并检测有效负载是否是恶意的。
当从其存档容器中解压时,恶意软件本身具有一些特征,这些特征也有助于它逃避立即检测。
许多解压缩或解压缩的有效负载文件比典型的可执行文件大得多。我们发现的几个样本的重量远高于600MB。这种大小的文件可能会被设计用于处理小得多的文件的静态端点保护扫描程序所遗漏。
这些文件的绝大多数内部内容只是包含零的字节,用作空格填充。
几乎所有示例都已使用代码验证证书进行签名。许多证书是全新的——在活动运作期间获得——其中一些证书的查询表明签名对许多样品仍然有效,而其他证书似乎是伪造或伪造的,并且没有通过验证。
某些端点保护工具会自动从扫描中排除具有有效签名的可执行文件;有些人只会寻找证书的存在,而不费心检查它是否有效。
简单但有效的密码窃取恶意软件
大多数样本似乎是恶意软件家族的变种,称为RedlineStealer或VidarStealer。尽管它们的大小很大,但大小大于600MB的恶意软件可执行文件(扩展名为.exe或.scr)的99%内容只是0。恶意软件代码被钉在非常大的文件的末尾,并带有跳过空白空间的跳转命令。
执行后,恶意软件会立即连接到Telegram加密消息服务上的URL。该URL指向聊天室,其标题是用于机器人命令和控制的Web地址。在我们测试此恶意软件时,C2地址是一个IP地址和一个高编号的非标准TCP端口。
然后,机器人连接到它从Telegram频道检索到的地址,并从该地址下载具有各种功能的有效负载。它使用对C2服务器的HTTPPOST请求来提交有关受感染计算机的遥测数据,包括保存在浏览器中的帐户信息的详细信息和桌面的屏幕截图。服务器提供机器人可用于加密其通信作为响应的信息。
恶意软件不会在主机上建立持久性。它运行一次,完成其工作,提取然后泄露它想要窃取的数据,然后退出。除了密码和Cookie信息外,机器人还会分析运行它的计算机,并将有关它的所有信息发送到机器人控制器。我们运行的样本在运行后甚至没有自行删除。
参考链接:https://news.sophos.com/en-us/2023/12/19/inhospitality-malspam-campaign-targets-hotel-industry/
图片来源网络目标可联系删除
