RevengeHotels运动从环球旅店前台盗取客户信用卡数据 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

RevengeHotels运动从环球旅店前台盗取客户信用卡数据

申博_安全防护 申博 26次浏览 已收录 0个评论

RevengeHotels是一款重要针对巴西旅店业的网络犯法歹意软件,其目的是猎取旅店体系中存储的客人的信用卡数据,以及从诸如Booking.com之类的在线旅行社(OTA)吸收的信用卡数据。卡巴斯基已确认有凌驾20家旅店成为此次行为的受害者,它们散布在巴西的八个州,别的另有其他一些国度或区域受到影响,包括南美的阿根廷、玻利维亚、智利、哥斯达黎加,欧洲的法国、意大利、墨西哥、葡萄牙、西班牙,以及亚洲的泰国和土耳其等国度。

RevengeHotels经由过程带有歹意附件的垂纶邮件感染受害者,个中一些版本利用了破绽CVE-2017-0199,该破绽是2017四月FireEye宣布的一个OFFICE 0day,在无需用户交互的情况下,翻开word文档就可以经由过程hta剧本实行恣意代码。RevengeHotels会在受害者的计算机中装置定制版本的RevengeRAT、NjRAT、NanoCoreRAT、888 RAT以及其他一些定制歹意软件。其背地的运营者自2015年以来一向活泼,但在2019年增大了进击力度。

针对旅店行业的黑客构造除了RevengeHotels以外,另有另一伙应用的基础设施、东西和手艺都与之类似的构造,我们将其命名为ProCC。这些构造都擅长应用社会工程欺骗手腕,以大额定单为名诱使目的中计,他们还出卖受影响体系的凭证,许可其他网络罪犯长途接见受影响的旅店前台。

一年多来,我们一向在监控这些构造的运动和他们制作的新歹意软件。可以肯定的是,最少有两个差别的构造正集合精力进击这个范畴,另外另有第三个构造,不过尚不清晰它的重点是只针对这个范畴,照样也在实行了其他范例的进击。

垂纶邮件

这些构造在行为中应用的战略之一是针对性很强的鱼叉式网络垂纶邮件,经由过程注册近似域名来假装正当公司,且邮件花样行文也是只管表现出了范例和专业,以政府机构或私人企业的名义跟旅店沟通房位报价,不过仔细看的话,照样能发明发送电子邮件的域名与现实的域名之间的纤细区分。

RevengeHotels运动从环球旅店前台盗取客户信用卡数据

图1.一封据称是从状师事务所发送的电子邮件

上图是一封用葡萄牙语写成的垂纶邮件,附带了一个歹意附件,文件中的状师事务所是实在存在的,而发送邮件的域名是进击者是在前一天注册的近似域名,为了增添可托度,进击者甚至在报价中附上了一份国度法人登记卡(CNPJ)的复印件。

附件Reserva Advogados Associados.docx (Associates reserve .docx)是一个歹意的Word文件,它经由过程模板注入来删除长途OLE对象来实行宏代码。长途OLE文档中的宏代码包括PowerShell敕令,这些敕令下载并实行终究的有用负载。

这则用葡萄牙语写成的鱼叉式网络垂纶邮件带有歹意文件,附加了一个实在的状师办公室的称号,而该邮件的域发件人是在一天前应用错字域名注册的。该小组进一步进行了社会工程事情:为了使旅店职员确信他们的要求是正当的,报价单上附有国度法律实体注册卡(CNPJ)的副本。

附加文件Reserva Advogados Associados.docx(状师协会预定.docx)是一个歹意Word文件,该文件经由过程模板注入删除长途OLE对象以实行宏代码,宏代码包括PowerShell敕令以下载并实行终究payload。

RevengeHotels运动从环球旅店前台盗取客户信用卡数据

图2.嵌入式宏实行的PowerShell敕令

下载的文件是受Yoda Obfuscator庇护的.NET二进制文件,解压后代码被识别为RevengeRAT。该构造还编写的另一个名为ScreenBooking的模块用于捕捉信用卡数据,它看管用户是不是正在阅读网页。在2016年的初始版本中,下载的文件分为两个模块:后门和捕捉屏幕截图的模块。近来,我们注意到这些模块已合并到单个后门模块中,该模块可从剪贴板网络数据并捕捉屏幕截图。

在此示例中,进击者正在看管的网页是booking.com,更具体地说,是包括信用卡详细信息的页面。代码特地用于寻觅葡萄牙语和英语的数据,从而使进击者可以从用这些言语编写的网页中盗取信用卡数据。

而在ProCC的行为中,下载的文件是Delphi二进制文件,装置的后门要比RevengeHotels应用的后门更有针对性:它是从零开始开发的,可以从剪贴板和打印机背景处置惩罚顺序中网络数据,捕捉屏幕截图。由于担任确认预订的事情职员一般需要从OTA网站上提取信用卡数据,因而可以经由过程看管剪贴板和发送给打印机的文档来网络卡号。

RevengeHotels运动从环球旅店前台盗取客户信用卡数据

图4.当用户将某些内容复制到剪贴板或发出打印要求时,将捕捉屏幕截图

出卖旅店体系凭证

Reverse RDP攻击:Hyper-V Connection

概览 2019年2月,checkpoint研究人员发布了Reverse RDP Attack攻击(https://research.checkpoint.com/reverse-rdp-attack-code-execution-on-rdp-clients/ )的文章,介绍了RDP协议客户端中的多个关键漏洞。研究人员进一步分析发现该攻击还可以针对Hyper-V发起攻击。 研究人员在RDP客户端中发现的路径遍历漏洞也适用于Hyper-V管理器的guest-to-host VM逃逸,该漏洞CVE编号为CVE-2019-0887,微软也已发布了针对该漏洞的补丁。 Hyper-V 研究人员发布该漏洞的相关情况后,有很多用户评论说RDP客户端的漏洞是否影响微软的Hyper-V产品。 图1: Reddit上关于Hyper-V漏洞的回复 众所周知,微软的Hyper-V是Azure 云中使

依据地下论坛的说法,这些构造还经由过程感染前台计算机猎取旅店治理体系的凭证,也可以从中盗取信用卡详细信息,同时还出卖对这些体系的长途接见权限,让其他人也可以接见。

RevengeHotels运动从环球旅店前台盗取客户信用卡数据

图5.犯法分子出卖旅店预订体系长途接见权限

犯法分子吹嘘信用卡数据质量高、牢靠,由于这些数据来自可托的泉源。

受害者局限

卡巴斯基预计此进击已普及环球,但依据遥测数据只能确认以下国度/区域的受害者:阿根廷、玻利维亚、巴西、智利、哥斯达黎加、法国、意大利、墨西哥、葡萄牙、西班牙、泰国和土耳其。

RevengeHotels运动从环球旅店前台盗取客户信用卡数据

图7.受害者散布

依据Bit.ly统计数据,我们可以看到很多其他国度的人也有接见歹意链接。数据表明现实接见的用户地点国度数目比我们统计的要多。

RevengeHotels运动从环球旅店前台盗取客户信用卡数据

图8.RevengeHotels行为中各个国度点击歹意链接的数目

总结

RevengeHotels是一同最少自2015年以来一向活泼的进击行为,其重要目的集合在巴西,现在已扩展到拉丁美洲及其他国度区域。

假如您忧郁本身的旅游平安,猛烈建议您应用假造付款卡在OTA上预订,这类卡在一次收费后就会失效,在付款或在旅店结账时也最好应用假造钱包,比方Apple Pay,Google Pay等。假如很难完成,那末最好挑选次要的信用卡,由于你永久不知道旅店的体系是不是清洁。

卡巴斯基一切产物将以下要挟检测为:

HEUR:Backdoor.MSIL.Revenge.gen

HEUR:Trojan-Downloader.MSIL.RevengeHotels.gen

HEUR:Trojan.MSIL.RevengeHotels.gen

HEUR:Trojan.Win32.RevengeHotels.gen

HEUR:Trojan.Script.RevengeHotels.gen

本文翻译自:https://securelist.com/revengehotels/95229/


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明RevengeHotels运动从环球旅店前台盗取客户信用卡数据
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址