Hotellerie
Sicherheitsforscher warnen vor einer neuen, raffinierten Angriffswelle auf die europäische Hotelbranche. Kriminelle mit mutmaßlichen Verbindungen nach Russland nutzen eine als ClickFix bekannte Methode, um Schadsoftware in Hotelnetzwerke einzuschleusen. Dabei werden Mitarbeiter durch psychologischen Druck und technische Täuschung dazu gebracht, bösartigen Code selbst auszuführen. Die Kampagne wird von Analysten unter dem Namen PHALT#BLYX geführt. Hier mehr zum Hintergrund.
Perfide Täuschung über Buchungsportale
Der Angriff beginnt mit einer täuschend echt wirkenden E-Mail, die den Absender Booking.com imitiert. Darin werden die Empfänger über angebliche Stornierungen oder hohe Abbuchungen im vierstelligen Euro-Bereich informiert. Um die Details zu prüfen, führt ein Link die Mitarbeiter auf eine gefälschte Internetseite, die das Design des Buchungsportals nahezu perfekt kopiert. Da die Beträge in Euro angegeben sind, gehen Experten davon aus, dass der Fokus gezielt auf dem europäischen Markt liegt.
Fake-Bluescreen als Druckmittel
Auf der gefälschten Webseite erscheint nach einem kurzen Moment eine simulierte Fehlermeldung, die in einen täuschend echten Windows-Bluescreen übergeht. Dieser suggeriert einen Systemabsturz. Um den vermeintlichen Fehler zu beheben, wird der Nutzer aufgefordert, eine bestimmte Tastenkombination zu drücken und einen Befehl in das Windows-Ausführen-Fenster einzufügen.
Was wie eine technische Hilfestellung aussieht, ist der entscheidende Teil des Angriffs: Der Mitarbeiter kopiert unbewusst einen bösartigen PowerShell-Befehl, den er durch das manuelle Ausführen selbst am Sicherheitssystem vorbeischleust. Da die Aktion vom Nutzer ausgeht, greifen viele automatisierte Schutzmechanismen nicht.
Schadsoftware nistet sich tief im System ein
Sobald der Befehl ausgeführt wurde, nutzt die Schadsoftware legitime Windows-Werkzeuge wie den Microsoft Build Engine (MSBuild.exe), um den eigentlichen Schadcode nachzuladen. Im Hintergrund werden zudem die Sicherheitsvorkehrungen von Windows Defender gezielt deaktiviert oder durch Ausnahmeregeln umgangen.
Das Ziel der Angreifer ist die Installation des Fernzugriff-Trojaners DCRat. Dieser ermöglicht es den Hintermännern, das infizierte System vollständig zu kontrollieren, Passwörter auszuspähen oder weitere Schadprogramme wie Kryptominer zu installieren. Zur Tarnung wird der Schadcode mittels Process Hollowing in legitime Systemprozesse wie die "aspnet_compiler.exe" injiziert.
Hinweise auf russische Urheber
Mehrere Faktoren deuten laut dem Sicherheitsunternehmen Securonix auf russische Akteure hin. In den verwendeten Projektdateien wurden kyrillische Kommentare und russische Statusmeldungen gefunden, die auf einen Muttersprachler als Entwickler schließen lassen. Zudem wird die genutzte Malware-Familie DCRat primär in russischsprachigen Untergrund-Foren gehandelt. Die Kriminellen nutzen für ihre Infrastruktur zudem Techniken, die eine Entdeckung durch herkömmliche Antivirenprogramme erheblich erschweren.
