最近,360安全中心发现了一波疑似针对北美酒店业的网络钓鱼电子邮件攻击。攻击者通过网络钓鱼电子邮件将带有恶意代码的附件发送给了目标酒店的财务人员,声称该酒店拖欠了服务费用,旨在诱使收件人打开附件中的恶意文件。
当收件人打开附件中的恶意文件时,恶意代码将被激活,然后下载并执行NetWiredRC远控木马。NetWiredRC的功能十分强大,能够实现注册表的读写、文件读写、屏幕截图、键盘记录、模拟键盘/鼠标点击,以及窃取登录凭证等各种各样的恶意功能。
技术细节
如上所述,攻击者谎称目标酒店的拖欠了某些服务的费用,并提醒收件人查看附件中的账单,以诱使收件人打开附件:
钓鱼电子邮件的附件是一个ZIP压缩文件,恶意代码就包含在解压后的一个快捷方式lnk文件中。
一个PowerShell脚本嵌入lnk文件的“目标”栏中,负责从“http[:]//bit.do/e2VHR”恶意组件。
http[:]//bit.do/e2VHR是一个短网址,其真正的下载地址是http[:]
//13.67.107.73:80/amtq/out-441441271.ps1:Out-441441271.ps1被用作一个释放器,在执行后将释放.NET木马psd.exe:
psd.exe经过了层层混淆:
去混淆后,可以看出它的核心代码是解密并执行QMLBeOtNWa.exe:
QMLBeOtNWa.exe将在启动目录中释放一个快捷方式,以实现病毒自启动:
然后检查NetWiredRC是否已经存在,如果不存在,则解密并执行NetWiredRC:
如上所述,NetWiredRC是一种功能强大的远控木马,它可以执行以下病毒功能:
解密远程控制的在线地址:
获取磁盘信息:
获取截图:
按键记录:
模拟鼠标点击:
获取LSA登录会话信息:
窃取存储在IE、Comode Dragon、Yandex、Mozilla Firefox、Google Chrome、Chromium、Opera浏览器和OutLook、ThundBird、SeaMonkey以及其他电子邮箱客户端中的登录凭证。以Chrome为例,代码逻辑如下:
安全建议
(1)不要打开来历不明的电子邮件。在收到此类电子邮件时,正确的做法是将它们提交给安全部门进行调查,以在打开之前确认安全性。
(2)对于安全性未知的文件,一定不要单击“启用宏”按钮,以防止宏病毒入侵。
(3)及时安装系统补丁,以修复系统漏洞。
相关案例
(1)2018年11月30日,万豪国际集团就喜达屋旗下酒店的客房预订数据库被黑客入侵事件发表声明。
声明称,最多约有5亿名曾在2018年9月10日或之前预定过该酒店的客人的个人信息可能已遭到泄露。
其中,约有3.27亿客人的姓名、邮寄地址、电话号码、电子邮箱地址、护照号码、账户信息、出生日期、性别以及到达和离开酒店之类的信息已确认遭到泄露。
(2)2018年8月28日,网传疑似华住酒店集团旗下连锁酒店约5亿条用户数据在暗网被人以8比特币或520门罗币的价格出售。
从卖家发布的内容来看,这些数据来自华住旗下汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等酒店。
泄露的信息包括华住官网注册资料、酒店入住登记的身份信息及酒店开房记录,住客姓名、手机号、邮箱、身份证号、登录账号密码等。
(3)2018年6月14日,巴黎公司FastBooking遭黑客入侵。从该公司网站来看,它向全球100个国家的4000多家酒店出售酒店预订软件。
FastBooking 公司指出,黑客窃取的信息包括旅客的姓氏和名字、国籍、邮政地址、邮件地址以及和酒店预订相关的信息(酒店名称、入住和离店详情)。据推测,全球受影响的酒店数量可能超过1000家。