Microsoft und Trend Micro haben unabhängig voneinander Phishing-Aktivitäten gegen das Gastgewerbe dokumentiert. Ob beide Kampagnen zusammenhängen, bestätigten die Unternehmen laut Dark Reading nicht. In beiden Fällen setzen die Angreifer auf ähnliche Täuschungsmethoden: Sie geben sich als Gäste mit Beschwerden oder Anfragen aus und nutzen dabei Arbeitsabläufe, die in Hotels üblich sind, etwa die Bearbeitung von Nachrichten durch Rezeption und Reservierungsteams.

Hinzu kommt der Missbrauch legitimer Dienste, um die Phishing-Nachrichten vertrauenswürdiger wirken zu lassen. Microsoft zufolge wurden unter anderem das E-Mail-Benachrichtigungssystem von Calendly und Googles URL-Weiterleitungsdienst missbraucht, „um herkömmliche Authentifizierungsprüfungen durch eine Technik zu umgehen, die wir als Authentifizierungswäsche bezeichnen“. Durch das Weiterleiten der Nachrichten über die Versandinfrastruktur eines vertrauenswürdigen Dienstes könnten bösartige E-Mails für E-Mail-Authentifizierungsmechanismen wie legitime Benachrichtigungen aussehen, erklärten die Microsoft-Forscher.

Wer auf eingebettete Links klickt, lädt ZIP-Archive herunter, die als Fotos getarnte LNK-Dateien enthalten. Nach Microsofts Darstellung löst das Öffnen dieser Verknüpfungen eine verschleierte PowerShell-Infektionskette aus. Am Ende wird ein persistentes Node.js-Implantat installiert. Node.js ist dabei laut Bericht eine legitime Laufzeitumgebung zur Ausführung von JavaScript außerhalb des Browsers. Das Implantat richtet mehrere Persistenzmechanismen in der Registry ein und baut verschlüsselte Verbindungen zu einer von den Angreifern kontrollierten Infrastruktur auf.

Microsoft verfolgt diese Kampagne gegen Hotels und andere Gastgewerbe-Organisationen in Europa und Asien seit mindestens April. Die Phishing-Mails trugen demnach Betreff- und Inhaltsthemen wie Gästebeschwerden, Bettwanzenmeldungen, Gesundheitsinspektionen und Reservierungsprobleme.

Trend Micro beschrieb eine parallele Kampagne, die Ende Mai entdeckt wurde und japanische Unterkunftsanbieter traf, die Partner von Booking.com sind. Dort imitierten die E-Mails Anfragen zu Gästebewertungen und Kundenbeschwerden. Auch hier sollten die Empfänger ZIP-Archive mit bösartigen, als Fotos getarnten LNK-Dateien herunterladen, also eine ähnliche Infektionskette wie in der von Microsoft beobachteten Aktivität.

Beim eigentlichen Schadprogramm unterscheiden sich die Kampagnen jedoch. Trend Micro zufolge dient Node.js in diesem Fall der Verschleierung, während als eigentliche Nutzlast TONResolver ausgeliefert wird, ein JavaScript-basierter Remote-Access-Trojaner. Die Malware verschafft zunächst Zugriff und kann danach weitere Befehle der Angreifer empfangen und ausführen. Trend Micro beobachtete zudem Hinweise auf nachgelagerten Diebstahl von Zugangsdaten und weitergehende Kompromittierungen nach der Erstinfektion.

Bemerkenswert ist laut Trend Micro auch die Kommando-und-Kontroll-Architektur von TONResolver. Die Malware bezieht ihr aktuelles Ziel aus einem Smart Contract auf der Blockchain von The Open Network (TON) und missbraucht TON als sogenannten Dead-Drop-Resolver. Dadurch lassen sich Adressen von C2-Servern in legitimen Webdiensten verbergen, wobei verschleierte oder kodierte Inhalte die Erkennung erschweren.

Denis Calderone, Principal und Chief Technology Officer bei Suzu Labs, sagte Dark Reading, diese Technik werde zunehmend übernommen, um C2-Infrastrukturen widerstandsfähiger gegen Abschaltungen und Maßnahmen der Strafverfolgung zu machen. Wenn ein C2-Server abgeschaltet werde, könnten Angreifer einfach die Domain im Smart Contract aktualisieren, worauf infizierte Systeme sich automatisch neu verbinden. Calderone verwies zudem darauf, dass dieselbe Technik kürzlich auch beim Trivy-Supply-Chain-Angriff beobachtet wurde.

Beide Berichte enthalten laut Artikel Listen mit Kompromittierungsindikatoren und Empfehlungen. Microsoft rät dazu, fotobezogene ZIP-Archive und gefälschte Bild-Verknüpfungen als Hochrisiko zu behandeln, PowerShell-Ausführung zu härten und zu überwachen, auf unerwartete .NET-Kompilierung zu achten und Node.js-Ausführung aus Benutzerpfaden zu untersuchen. Trend Micro empfiehlt unter anderem ein Proxy-Gateway an internetseitigen Endpunkten und Verbindungsfilter, um den Missbrauch von Dead-Drop-Resolvern einzuschränken. Da Geschäftsumgebungen Blockchain-Plattformen normalerweise nur begrenzt benötigten, könne eine vorsorgliche Beschränkung solcher Verbindungen die Angriffskette in einem Zwischenstadium unterbrechen, so die Forscher.