RevengeHotels saldırısı, konaklama sektöründeki şirketleri geleneksel Uzaktan Erişim Tojanları (RAT) ile hedef alan çeşitli gruplar tarafından düzenleniyor. 2015’ten beri süregelen saldırı 2019’da etkisini artırdı. RevengeHotels ve ProCC gruplarının bu saldırının bir parçası olduğu fakat daha fazla siber suçlu grubunun da buna karışmış olabileceği düşünülüyor.
Buradaki ana saldırı vektörünü Word, Excel veya PDF belgesi şeklinde tasarlanmış zararlı yazılımlar içeren e-postalar oluşturuyor. Bunlardan bazıları CVE-2017-0199 kayıtlı açıktan yararlanıyor. VBS ve PowerShell kodlarıyla yüklenen yazılım ardından çeşitli RAT’ların ve zararlı yazılımların özel sürümlerini indiriyor. ProCC gibi yazılımlar kurbanın bilgisayarında komut çalıştırabiliyor ve bu sistemlere uzaktan erişebiliyor.
Hedef odaklı kimlik avı e-postalarının her biri ayrıntılı ve özenli bir şekilde hazırlanıyor. Genellikle yasal kurumlardaki gerçek kişiler gibi görünerek sahte rezervasyon teklifleri gönderiliyor. Dikkatli kullanıcılar bile bu ayrıntılı ve ikna edici (yasal belge örnekleri ve otelde rezervasyon nedenleri yer alıyor) belgeleri indirip açabiliyor. Saldırganı açığa çıkarak tek ayrıntı kurumun alan adındaki farklılık oluyor.
Zararlı yazılım bulaştıktan sonra bilgisayara uzaktan erişenler yalnızca siber suçlu grubunun kendisi olmayabiliyor. Kaspersky araştırmacıları buldukları delillere bakarak, otellerdeki bilgisayarlara erişimin abonelik yöntemiyle başka suçlu gruplarına satıldığını tespit etti. Zararlı yazılımın bilgisayarlardan topladığı veriler arasında pano verileri, yazıcı sırası bekleyen belgeler ve ekran görüntüleri (bu özellik İngilizce ve Portekizce bazı kelimeler kullanılarak başlatılıyor) de yer alıyor. Otel çalışanları müşterilerin kredi kartı bilgilerin çevrimiçi acentelerden kopyaladıkları için bu veri de ele geçirilebiliyor.
Kaspersky’nin yaptığı ölçümlerde Arjantin, Bolivya, Brezilya, Şili, Kosta Rika, Fransa, İtalya, Meksika, Portekiz, İspanya, Tayland ve Türkiye’de bazı otellerin alındığı doğrulandı. Saldırganların zararlı bağlantıları yaymak için kullandığı popüler bağlantı kısaltma servisi Bit.ly verilerine göz atan Kaspersky araştırmacıları, zararlı bağlantıya daha birçok ülkeden kullanıcıların da eriştiğini ve potansiyel kurban sayısının çok daha fazla olabileceğini belirtiyor.