Kaspersky descubre campaña de malware dirigida al sector hotelero para robar datos de tarjetas de crédito

Una campaña de malware denominada RevengeHotels ha infectado con éxito los sistemas de recepción de más de 20 hoteles en varios países, con el objetivo de robarle los datos de la tarjeta de crédito a los clientes y poder hacer compras con ellas posteriormente.

La investigación ha sido llevada a cabo por Kaspersky Labs quienes han confirmado que los ataque se han llevado a cabo mayormente en Brasil, aunque también se han producido infecciones en Chile, Francia, Italia, España, Portugal, Turquía, Costa Rica, México y Bolivia.

Victimas por ciudad.

Además de los datos de la tarjeta de crédito, los troyanos recopilan información financiera transmitida a través de sitios de terceros como Booking.com. Lo más preocupante quizás sea el tiempo que este malware llevaba latente en algunos equipos, según hemos podido saber, había muestras que llevaban latentes desde 2015, aunque el pico de actividad se ha producido en el último año.

Los ciberdelincuentes aprovechaban la vulnerabilidad de Microsoft Office de 2017 identificada bajo el identificador CVE-2017-0199. Esta vulnerabilidad permite entre otros la ejecución de los siguientes RATs: RevengeRAT, NanocoreRAT, ProCC, 888 RAT y NjRAT, entre otros.

Una vez infectado, se utiliza una puerta trasera para tomar capturas de pantalla y recopilar datos del portapapeles, mientras que otro módulo, llamado ScreenBooking, captura la información de la tarjeta de crédito. Los datos se envían al servidor de control (C&C) del atacante a través de un túnel cifrado creado por los atacantes.

Lo dirigido que se encuentran este tipo de ataques hacia sectores específicos confirma la alta especialización por parte de los atacantes. Este dato unido a que el malware ha permanecido cerca de 4 años sin ser detectado, confirma los escasos niveles de seguridad que algunos sectores ofrecen, facilitando el trabajo a los ciberdelincuentes.

Para mayor información:
https://securelist.com/revengehotels/95229/