حمله سایبری هکرهای روسی به صنعت هتلداری اروپا

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، پژوهشگران شرکت امنیت سایبری سکیورونیکس (Securonix) از شناسایی یک کارزار بدافزاری فعال خبر داده‌اند که هکرهای منتسب به روسیه در آن، صنعت هتلداری اروپا را هدف گرفته‌اند.

این حمله که PHALT#BLYX نام‌گذاری شده، با سوءاستفاده از اعتماد کارکنان هتل‌ها به سامانه‌های رزرو آنلاین آغاز می‌شود و از یک صفحه جعلی صفحه آبی مرگ (Blue Screen of Death) برای آلوده‌سازی سیستم‌ها استفاده می‌کند.

این کارزار معمولاً با ارسال ایمیل‌های فیشینگ با عنوان «لغو رزرو» آغاز می‌شود که ظاهراً از سوی وب‌سایت‌های معتبر رزرو هتل ارسال شده‌اند.

در این ایمیل‌ها، جزئیات هزینه اقامت به یورو و اغلب با مبالغی بالاتر از ۱۰۰۰ یورو درج می‌شود تا حس فوریت و اضطراب ایجاد شود.

قربانی با کلیک روی گزینه «مشاهده جزئیات» به یک صفحه جعلی رزرو هدایت می‌شود که پیام خطای ساختگی «بارگذاری بیش از حد طول کشیده است» را نمایش می‌دهد.

با کلیک روی دکمه «بازخوانی صفحه»، قربانی وارد یک انیمیشن جعلی از صفحه آبی مرگ ویندوز می‌شود.

در این مرحله، از کاربر خواسته می‌شود برای رفع مشکل، یک اسکریپت را در بخش Run ویندوز کپی و اجرا کند.

این اقدام در نهایت به دانلود بدافزاری به نام دی سی رت (DCRat) منجر می‌شود.

این بدافزار قادر است کلیدهای فشرده‌شده، گذرواژه‌ها، داده‌های کلیپ‌بورد و اطلاعات حساس دیگر را سرقت کند و هم‌زمان با غیرفعال‌سازی ویندوز دیفندر (Windows Defender)، دسترسی پایدار هکرها به سیستم را حفظ نماید.

برای فریب کاربر، یک صفحه واقعی رزرو هتل نیز به‌صورت هم‌زمان باز می‌شود.

به گفته سکیورونیکس، شواهد فنی متعددی از ارتباط این حمله با روسیه وجود دارد؛ از جمله استفاده از فایل‌های ام اس بیلد (MSBuild) با رشته‌های دیباگ روسی، مکان‌یابی زیرساخت‌ها در روسیه و فروش گسترده دی سی رت در انجمن‌های زیرزمینی روس‌زبان.

پژوهشگران هشدار داده‌اند که این حمله نمونه‌ای پیشرفته از تکامل بدافزارهای رایج است که با مهندسی اجتماعی و پیچیدگی فنی بالا، شناسایی و مقابله با آن را دشوار می‌کند.