Microsoft warnt vor gezielter Cyber-Angriffswelle auf Hotels

30. Juni 2026 09:02 Uhr |

Microsoft warnt vor einer seit April 2026 laufenden Cyber-Angriffskampagne gegen Unternehmen aus der Hotellerie. Nach Angaben des Microsoft Defender Security Research Teams seien Organisationen in mehreren Ländern Europas und Asiens betroffen. Die Angriffe zielten insbesondere auf Mitarbeiter an Rezeptionen, im Front Office und in der Reservierung ab.

Phishing-Mails richten sich gezielt an Hotelmitarbeiter

Nach den Erkenntnissen von Microsoft beginnt die Angriffskette mit Phishing-E-Mails, die den Eindruck regulärer Hotelkommunikation vermitteln sollen. Als Absender erscheine unter anderem „Booking Manager (via Calendly)“. Die E-Mails enthielten Themen wie Gästebeschwerden, Anfragen zum Zustand von Zimmern, Hinweise auf Bettwanzenbefall oder Bewertungsanfragen.

Die Angreifer missbrauchten dabei nach Angaben von Microsoft unter anderem die Benachrichtigungsinfrastruktur von Calendly sowie Weiterleitungsfunktionen von Google, um Sicherheitsprüfungen vieler E-Mail-Systeme zu umgehen. Microsoft bezeichnet dieses Vorgehen als „Authentication Laundering“.

Schadsoftware tarnt sich als Bilddatei und installiert Hintertür

Klicken Empfänger auf den Link in der E-Mail, werde eine ZIP-Datei mit einem scheinbaren Foto heruntergeladen. Tatsächlich enthalte das Archiv eine ausführbare Verknüpfung, die als Bilddatei getarnt sei. Nach deren Ausführung starte eine mehrstufige Angriffskette.

Microsoft berichtet, dass dabei zunächst verschleierte PowerShell-Befehle ausgeführt würden. Anschließend werde eine auf Node.js basierende Schadsoftware installiert, die sich dauerhaft auf dem Rechner verankern könne und Kontakt zu den Servern der Angreifer aufnehme. In einer späteren Angriffswelle hätten die Täter ihre Methoden weiterentwickelt und zusätzliche Komponenten integriert, um die Erkennung zu erschweren.

Kampagne entwickelt sich seit April kontinuierlich weiter

Nach Angaben von Microsoft lasse sich die Kampagne in zwei Phasen einteilen. Während die erste Angriffswelle überwiegend zwischen April und Mai 2026 beobachtet worden sei, seien Ende Mai und im Juni neue Techniken hinzugekommen. Dazu gehörten zusätzliche Verschleierungsmechanismen sowie neue Internet-Domains für die Verteilung der Schadsoftware.

Eine Zuordnung zu einer bekannten Hackergruppe nimmt Microsoft derzeit nicht vor. Das Unternehmen weist jedoch darauf hin, dass die Angreifer erheblichen Aufwand betrieben hätten, um ihre Schadsoftware dauerhaft auf kompromittierten Systemen zu verankern. Das könne darauf hindeuten, dass weitere Aktivitäten auf den betroffenen Rechnern vorbereitet würden.

Microsoft empfiehlt verstärkte Überwachung von Hotelarbeitsplätzen

Microsoft empfiehlt Unternehmen aus der Hotellerie, insbesondere Rechner an Rezeptionen, im Front Office und in Reservierungsabteilungen verstärkt zu überwachen. Verdächtig seien unter anderem ZIP-Dateien mit Foto-Bezeichnungen, ungewöhnliche PowerShell-Aktivitäten, unerwartete Node.js-Prozesse sowie Änderungen an den Sicherheits- und Registrierungseinstellungen von Windows.

Darüber hinaus rät Microsoft dazu, ausgehende Netzwerkverbindungen über ungewöhnliche Ports zu kontrollieren und verdächtige Internet-Domains zu blockieren. Nach Einschätzung des Unternehmens seien verhaltensbasierte Erkennungsverfahren wirksamer als die ausschließliche Suche nach einzelnen Schadcode-Dateien oder Internetadressen.

Bei der Erstellung dieses Artikels kamen KI-gestützte Werkzeuge zum Einsatz. Die Inhalte wurden redaktionell überprüft. Feedback nehmen wir gerne unter news@tageskarte.io entgegen.

Zurück