Los investigadores de seguridad de Kaspersky han publicado un nuevo informe que detalla una operación de malware de cibercrimen, denominado RevengeHotels, dirigido a hoteles, hostales, empresas de hospitalidad y turismo, entre ella varias latinoamericanas y en gigantes como Booking.com.
La lista de víctimas incluye más de 20 hoteles ubicados en Brasil, Argentina, Bolivia, Chile, Costa Rica, Francia, Italia, México, Portugal, España, Tailandia y Turquía. El objetivo de la campaña es robar datos de tarjetas de huéspedes y viajeros gestionados por hoteles, así como datos de tarjetas de crédito recibidos de agencias de viajes populares en línea como Booking.com.
Los atacantes usaron correos electrónicos de phishing con documentos de Word, Excel o PDF adjuntos. Según el equipo de Kaspersky, los mensajes de phishing fueron bien escritos y detallados. Los atacantes también usaron dominios para hacerse pasar por compañías reales, adjuntando a los mensajes documentos legales de búsqueda convincente.
“En la campaña RevengeHotels, los archivos descargados son archivos binarios .NET protegidos con Yoda Obfuscator. Después de desempacarlos, el código es reconocible como RAT RevengeRAT comercial ”, escribieron los investigadores.
Los expertos también encontraron un módulo adicional llamado ScreenBooking diseñado para capturar datos de tarjetas de crédito al monitorear si el usuario está navegando por la página web. Los archivos descargados en los ataques observados en 2016 se dividieron en dos módulos, una puerta trasera y un módulo para capturar capturas de pantalla.
Con el tiempo, estos módulos se fusionaron en un solo módulo de puerta trasera que puede recopilar datos del portapapeles y capturar capturas de pantalla, avanza Seguridad y Firewall.
El actor de amenazas de ProCC utiliza una puerta trasera que está más personalizada que la utilizada por RevengeHotels. Tiene la capacidad de recopilar datos del portapapeles y la cola de impresión, y capturar capturas de pantalla.
“Debido a que el personal a cargo de confirmar las reservas generalmente necesita extraer los datos de la tarjeta de crédito de los sitios web de la OTA, es posible recopilar los números de tarjeta monitoreando el portapapeles y los documentos enviados a la impresora”, explicó Kaspersky en su informe.
“RevengeHotels es una campaña que ha estado activa desde al menos 2015, que revela diferentes grupos que usan malware RAT tradicional para infectar a empresas en el sector de la hospitalidad. Si bien existe un marcado interés en las víctimas brasileñas, nuestra telemetría muestra que su alcance se ha extendido a otros países de América Latina y más allá ”, concluye el informe.
Hace año y medio, diversas organizaciones en todo el mundo se vieron afectadas por un ataque cibernético llamado WannaCry, aunque ante esta situación las agencias de viajes en línea no temen a esta amenaza, pues cuentan con la protección adecuada.
Eduardo Paniagua Morales, presidente de la Confederación de Organizaciones Turísticas de América Latina (COTAL), comentó que las agencias de viajes on line cuentan con antivirus de gran calidad que pueden detectar ataques cibernéticos y neutralizarlos.
También mencionó que estas empresas dentro de sus gastos de operación contemplan un presupuesto para antivirus, el cual depende de la cantidad de máquinas con las que cuenten y la plataforma que utilicen, como recogió REPORTUR.mx.