Los hoteles de lujo en la región administrativa especial china de Macao fueron objeto de una campaña maliciosa de phishing desde la segunda quincena de noviembre de 2021 y hasta mediados de enero de 2022.
Empresa de ciberseguridad Trellix atribuido la campaña con confianza moderada a una supuesta amenaza persistente avanzada (APT) de Corea del Sur rastreada como DarkHotel, basándose en una investigación publicada anteriormente por Escalador Z en diciembre de 2021.
Se cree que está activo desde 2007, DarkHotel tiene un historial de atacar a «ejecutivos de alto nivel al cargar códigos maliciosos en sus computadoras a través de redes Wi-Fi infiltradas en hoteles, así como a través de ataques de phishing y P2P», los investigadores de Zscaler Sahil Antil y Sudeep. Singh dijo. Los sectores destacados a los que se dirige incluyen la aplicación de la ley, los productos farmacéuticos y los fabricantes de automóviles.
Las cadenas de ataques involucraron la distribución de mensajes de correo electrónico dirigidos a personas con funciones ejecutivas en el hotel, como el vicepresidente de recursos humanos, el subgerente y el gerente de recepción, lo que indica que las intrusiones estaban dirigidas al personal que tenía acceso a la red de hoteles.
En un señuelo de phishing enviado a 17 hoteles diferentes el 7 de diciembre, el correo electrónico pretendía ser de la Oficina de Turismo del Gobierno de Macao e instaba a las víctimas a abrir un archivo de Excel llamado «信息.xls» («información.xls»). En otro caso, los correos electrónicos fueron falsificados para recopilar detalles sobre las personas que se alojaban en los hoteles.
El archivo de Microsoft Excel con malware, cuando se abrió, engañó a los destinatarios para que habilitaran macros, lo que desencadenó una cadena de explotación para recopilar y filtrar datos confidenciales de las máquinas comprometidas a un servidor remoto de comando y control (C2) («fsm-gov[.]com») que se hizo pasar por el sitio web del gobierno de los Estados Federados de Micronesia (FSM).
«Esta IP fue utilizada por el actor para lanzar nuevas cargas útiles como primeras etapas para configurar el entorno de la víctima para la filtración de información del sistema y los posibles próximos pasos», dijeron los investigadores de Trellix Thibault Seret y John Fokker en un informe publicado la semana pasada. “Esas cargas útiles se utilizaron para apuntar a las principales cadenas hoteleras en Macao, incluido Grand Coloane Resort y Wynn Palace”.
También es digno de mención el hecho de que la dirección IP del servidor C2 ha seguido activa a pesar de la divulgación pública anterior y que se está utilizando para servir páginas de phishing para un ataque de recolección de credenciales no relacionado dirigido a los usuarios de la billetera de criptomonedas MetaMask.
Se dice que la campaña tuvo que llegar a su fin inevitable el 18 de enero de 2022, coincidiendo con el aumento de los casos de COVID-19 en Macao, lo que provocó la cancelación o el aplazamiento de una serie de conferencias comerciales internacionales que se iban a celebrar en los hoteles seleccionados. .
«El grupo estaba tratando de sentar las bases para una campaña futura que involucre a estos hoteles específicos», dijeron los investigadores. «En esta campaña, las restricciones de COVID-19 dañaron el motor del actor de amenazas, pero eso no significa que hayan abandonado este enfoque».