Ciberataques usam reservas falsas para roubar dados de empresas de turismo

22 de agosto de 2022 visionnews

Hotéis, resorts e outros fornecedores de hospitalidade são o alvo de uma campanha maliciosa antiga, mas que ganhou nova força com o retorno das atividades neste período pós-vacina. E-mails de phishing enviados principalmente em português e espanhol, com falsas reservas em nome de empresas ou eventos, são a isca para cliques em links comprometidos que abrem as portas para roubo de dados.

A tática é relativamente antiga, assim como a própria onda de ataques, ativa desde 2018 e até hoje bem-sucedida em comprometer os sistemas das vítimas em países da América Latina, Europa e América do Norte. Por trás dos golpes estaria um grupo de ameaças conhecido como TA558, cujo objetivo principal é sempre a obtenção de acesso a redes internas para roubo de dados e informações sigilosas das próprias companhias e também de seus clientes.

Como forma de dar mais aparência de legitimidade ao ataque, até mesmo o nome de organizações reais, assim como dados públicos ou vazados de pessoas de verdade, são utilizados. Em um dos exemplos exibidos pelos especialistas da Proofpoint, por exemplo, a isca é um suposto congresso promovido pela OAB (Ordem dos Advogados do Brasil) do Distrito Federal, enquanto em outro o pedido é sobre reservas ligadas à fornecedora de planos de saúde Unimed.

–
Baixe nosso aplicativo para iOS e Android e acompanhe em seu smartphone as principais notícias de tecnologia em tempo real.
–

A proposta, se fosse real, seria atrativa, com um e-mail buscando informações sobre reservas para um grande número de pessoas durante um evento. No corpo do texto está uma URL que leva a um site controlado pelos criminosos, de onde arquivos em formato ISO ou RAR são baixados com uma suposta lista de hóspedes; no interior, porém, está um arquivo que executa códigos maliciosos e realiza o download das pragas no computador das vítimas.

i624133 Vision Art NEWS — *Exemplos de e-mails em nome de organizações brasileiras usado por grupo criminoso para invadir sistemas de empresas do setor de turismo (Imagem: Reprodução/Proofpoint)*

O grupo criminoso estaria usando mais de 15 famílias diferentes de malware, com Loda e AsyncRAT sendo as mais populares nos ataques registrados a partir de 2020. Em ambos os casos, se tratam de trojans de acesso remoto voltados para a coleta de informações de dispositivos contaminados, movimentação lateral por redes e roubo de dados.

Invasão de contas e desvio de pagamentos

O relatório responsável por ligar novamente o alerta vermelho para a campanha também fala em golpes mais direcionados, usando falsos arquivos do sistema de contabilidade Quickbooks para entregar combinações com o Revenge RAT, também voltado no acesso remoto. Os especialistas falam ainda que os criminosos buscam redirecionar pagamentos legítimos de hóspedes para suas próprias contas, além de desfigurar sites para exibir links maliciosos e novas vias de comprometimento.

Em um caso desse tipo, uma rede de hotéis da cidade de Lisboa, em Portugal, chegou a perder € 500,000 (aproximadamente R$ 2,5 milhões) em reservas após ter sua conta no site de reservas Booking invadida. Os criminosos alteraram as informações de pagamento e passaram quatro dias recebendo dinheiro que deveria ser da empresa, enquanto hóspedes realizavam seus agendamentos de quartos no estabelecimento.

Segundo a Proofpoint, ainda que a autoria deste golpe pelo TA558 não tenha sido confirmada, o tipo de ataque, as assinaturas de malware e o foco indicam uma participação do bando. Os especialistas indicam, ainda, que a venda de dados financeiros furtados, informações pessoais e até mesmo o próprio acesso às redes das organizações atingidas estão entre os meios de monetização das ações da quadrilha.

Leia a matéria no Canaltech.

Trending no Canaltech:

Fonte: Acesse Aqui o Link da Matéria Original