Přijde fotka, přijde problém
Útok začíná jednoduše. Na recepci dorazí e-mail od odesílatele podepsaného jako „Booking Manager (via Calendly)“. Zpráva se tváří jako stížnost hosta, upozornění na výskyt štěnic, dotaz na stav pokoje nebo žádost o recenzi pobytu. Tón je naléhavý, místy výhružný, hotelový zaměstnanec má pocit, že musí reagovat rychle.
V příloze nebo na odkazu čeká ZIP archiv. Uvnitř je soubor pojmenovaný třeba IMG-805916584.png nebo PHOTO-215746435.png. Vypadá jako fotografie. Windows ale ve výchozím nastavení skrývá přípony souborů, takže zaměstnanec už nevidí, že jde ve skutečnosti o soubor s příponou .png.lnk, tedy o spustitelného zástupce. Jakmile na něj dvakrát klikne, neotevře fotku, ale spustí útok.
Zdroj: Microsoft
Co se děje po kliknutí
Na pozadí se spustí PowerShell, skriptovací nástroj Windows, který si stáhne další soubor, a ten pak nainstaluje plnohodnotné prostředí Node.js do uživatelského profilu. Node.js je legitimní technologie pro spouštění JavaScriptu, takže bezpečnostní software ji obvykle nepovažuje za hrozbu.
Tento Node.js pak spustí skutečný malware, pojmenovaný výzkumníky jako TonRAT. Jde o vzdáleně ovládaného trojského koně, který komunikuje se svými operátory přes šifrované připojení, a adresy svých serverů si dohledává dynamicky přes blockchain TON. To znamená, že pouhé zablokování konkrétní domény útočníkům moc nezkomplikuje práci, protože si mohou adresu serveru kdykoli změnit.
Mohlo by vás zajímat
Malware, který přežije restart i neúplné vymazání
Technicky nejzajímavější částí celé kampaně je to, jak se malware udrží na napadeném systému. Vytvoří si rovnou dva záznamy v registrech Windows, jeden jako hlavní, druhý jako záložní. Pokud správce smaže jen jeden, malware se po restartu sám obnoví. Teprve smazání obou zároveň, spolu s příslušnými soubory v adresáři AppData, vede k úplnému vyčištění.
Microsoft Defender přitom malware v části případů neidentifikuje jako hrozbu, protože vidí jen spuštění legitimního Node.js. Útočníci navíc aktivně mění nastavení Defenderu tak, aby vyloučili spustitelné soubory svého malwaru ze skenování. Po kompromitaci malware průběžně posílá zpětná volání na servery útočníků, sbírá informace o napadeném počítači včetně veřejné IP adresy a geolokace.
Mohlo by vás zajímat
Tři pasti na Booking.com: Nejčastější chyby, kvůli kterým platíte víc a dostanete míň. Vyvarujte se jich
Tipy a triky
Jak útočníci obcházejí e-mailové filtry
Phishingové e-maily nejsou rozesílány přímo z pochybných serverů. Útočníci k tomu zneužívají legitimní infrastrukturu plánovacího nástroje Calendly a přesměrování Google. Výsledkem je, že e-mail projde všemi standardními ověřovacími kontrolami, jako jsou SPF, DKIM nebo DMARC, protože skutečně odchází z autorizovaných serverů Calendly. Tyto kontroly ověřují, kdo e-mail odeslal, ale neříkají nic o tom, co e-mail obsahuje.
Microsoft tuto techniku nazývá „authentication laundering“, tedy jakési „praní autentizace“, při němž útočníci využívají důvěryhodnost cizí infrastruktury ve svůj prospěch.
Odkaz v e-mailu pak vede přes čtyři různá přesměrování, přes Calendly, přes share.google, přes Google samotný až na čerstvě zaregistrovanou doménu s příponou .cfd skrytou za Cloudflare, která před stažením souboru ještě ověřuje, že jde o skutečného uživatele, a ne o automatický skener. Každý krok v řetězci vypadá legitimně. Teprve na konci čeká zákeřný ZIP.
Mohlo by vás zajímat
Česká stopa: recepce
Mezi napadenými systémy Microsoft identifikoval vzorce pojmenování uživatelských účtů. Typicky šlo o účty nazvané reception, frontdesk, reservations, frontoffice a podobně. V tomto seznamu se nachází i slovo „recepce“, psané česky, a dále třeba „recepcja“, tedy polský ekvivalent. Útočníci tak prokazatelně cílili nebo cílí i na hotely v zemích střední Evropy, kde se tyto výrazy pro pracovní stanice nebo účty hotelové recepce běžně používají.
Vzhledem k tomu, že Česká republika patří mezi turisticky aktivní země s hustou sítí hotelů různých kategorií a že v napadených systémech figuruje české označení recepce, je velmi pravděpodobné, že část pokusů o průnik mířila nebo míří i na tuzemská ubytovací zařízení.
Microsoft přiznal, že nezná konečný cíl kampaně. Malware sice poskytuje útočníkům trvalý přístup do systému, shromažďuje informace a udržuje skrytý komunikační kanál, ale zatím nebylo potvrzeno žádné odcizení dat ani nasazení ransomwaru. Celá situace připomíná fázi průzkumu před větším útokem, kdy si útočníci budují přístupy do co největšího počtu hotelových systémů, a teprve pak se rozhodnou, co s nimi udělají.
Hotelové systémy jsou přitom lákavým cílem. Recepce pracuje s platebními kartami, osobními údaji hostů, rezervacemi a mnohdy má přístup i k dalším interním systémům hotelu. Průnik do jednoho počítače na recepci může útočníkům otevřít dveře do celé sítě.
Mohlo by vás zajímat
Jak se bránit
Microsoft doporučuje zaměřit se na detekci chování, nikoli jen konkrétních souborů, protože útočníci pravidelně mění názvy, domény i části kódu. Za pozornost stojí zejména neobvyklá aktivita PowerShellu, spouštění Node.js z uživatelského profilu, změny v nastavení Microsoft Defenderu a odchozí připojení na nestandardní porty jako 8443, 8445 nebo 5555.
Základním preventivním krokem zůstává nastavení Windows tak, aby zobrazoval přípony souborů, protože právě skrytá přípona .lnk je hlavním trikem, na který útok spoléhá. Zaměstnanci recepce by měli být poučeni, že přílohy s fotografiemi od neznámých odesílatelů je třeba ověřit ještě před otevřením, i když e-mail vypadá jako standardní hotelová korespondence.
Zdroj: Microsoft, The hacker news, Techradar
