A través de plataformas de reservas online como Booking, los ciberdelincuentes están comprometiendo los sistemas informáticos de los hoteles a través de un nuevo software malicioso, el conocido como HijackLoader.
La situación resultará familiar a los recepcionistas y profesionales del sector hotelero: un cliente solicita información sobre las precauciones tomadas para las alergias alimentarias. Su mensaje parece inocente: un enlace de Dropbox o Google Drive, plataformas conocidas y aparentemente confiables que se integran de manera natural en la conversación. Sin embargo, detrás de esta “solicitud” se esconde este peligroso malware.
Según explican los expertos de Alpine Security, los ciberdelincuentes se comunican con los hoteles a través de las plataformas de reservas, utilizando excusas similares y, aprovechando la predisposición del establecimiento a escuchar a sus clientes, proporcionan supuestos documentos médicos.
El verdadero peligro reside en el archivo adjunto, donde el malware acecha a su posible víctima esperando que haga clic en ‘descargar’. El desencadenante de todo este proceso puede poner en riesgo el sistema informático de toda la cadena hotelera.
El objetivo final de estas campañas, atribuido a atacantes rusos, es obtener los datos personales de los clientes para intentar persuadirlos y conseguir pagos a cuentas fraudulentas.
HijackLoader: El malware sigiloso
Este malware, conocido como HijackLoader, se presenta como un cargador de malware modular y sigiloso. Tiene la capacidad de cargar múltiples familias adicionales de malware como Danabot, SystemBC o RedLine Stealer. Lo que hace que sea particularmente peligroso es su diseño modular y su uso de avanzadas técnicas de ocultación, evasión y anti-análisis. Estas características permiten que el malware se ejecute de manera sigilosa, evitando ser detectado por las soluciones de seguridad tradicionales.
Según explican desde Alpine Security, en sus procesos para infectar los sistemas informáticos de las cadenas hoteleras, los ciberdelincuentes inyectan sus binarios maliciosos en procesos legítimos. Dicho malware trata de camuflarse como una herramienta legítima para intentar pasar desapercibido. Asimismo, tiene capacidad de utilizar imágenes PNG alojadas en diversos servicios legítimos para recuperar sus próximas etapas y ampliar las funcionalidades de este. El proceso de recuperación de la carga útil involucra una compleja serie de pasos, incluyendo la identificación de marcas en imágenes y descifrado.
El equipo de ciberseguridad de Alpine Security ha estado investigando (este es su análisis detallado) y respondiendo activamente a esta amenaza emergente, la compañía ha desarrollado herramientas y procedimientos para identificar y mitigar esta nueva amenaza en la industria hotelera.
