Российские хакеры атакуют европейские отели

Российские хакеры начали масштабную атаку на европейские отели и компании сферы гостиничного бизнеса, используя вредоносное ПО и поддельную страницу системной ошибки, известную как синий экран смерти.

Источник: The Record, информирует издание GuildHall.

Исследователи из компании Securonix сообщили, что отслеживают активную кампанию под названием PHALT#BLYX. Злоумышленники рассылают фишинговые электронные письма с заголовком об отмене бронирования, в которых указаны суммы свыше 1000 евро. Это делается специально, чтобы вызвать у сотрудников гостиниц чувство паники и заставить их действовать быстро.

Схема работает по принципу психологического манипулирования под названием ClickFix. Жертва нажимает кнопку подробностей в письме, после чего попадает на поддельную страницу, имитирующую сбой браузера. При попытке обновить страницу на экране появляется анимация синего экрана смерти. Чтобы исправить проблему, пользователю предлагают выполнить ряд команд и вставить скрипт в диалоговое окно системы Windows. Эти действия приводят к загрузке вируса DCRat, который позволяет хакерам отслеживать нажатия клавиш, красть пароли, данные буфера обмена и полностью контролировать зараженное устройство.

Старший исследователь угроз в Securonix Шикха Сангван отметила, что на связь хакеров с Россией указывает несколько признаков. В частности, в файлах проекта обнаружены отладочные строки и команды на русском языке, а техническая телеметрия подтвердила, что используемая инфраструктура геолоцирована в России. Кроме того, само вредоносное ПО DCRat активно распространяется на российских подпольных форумах. Атаки продолжались всю осень, так как это один из самых загруженных периодов для индустрии гостеприимства.

Специалисты предупреждают, что эта кампания представляет собой крайне изощренный этап развития киберугроз. Сочетание психологического давления и использования доверенных системных файлов позволяет вирусу закрепиться глубоко в системе до того, как его заметят традиционные средства защиты.