酒店业面临密码盗窃恶意软件攻击警告

关键要点

• Sophos X-Ops警告全球酒店业，针对酒店的密码盗窃恶意软件正在进行社交工程攻击。
• 攻击者伪装成顾客，利用电子邮件中的投诉或信息请求来诱骗受害者。
• 恶意软件通过密码保护的压缩文件传播，通常要求目标使用简单密码解压。
• 攻击者利用情感操控，采用多种手段制造虚假投诉以获得信任。

SophosX-Ops最近发出警告，全球酒店业正面临一场针对酒店的密码盗窃恶意软件攻击。这一攻击利用电子邮件中的服务问题投诉或信息请求，作为社交工程诱饵，获得目标的信任，然后发送恶意链接。

攻击者所采用的方法与SophosX-Ops在2023年4月的美国联邦税务申报截止日期前发现的攻击方式相似：他们最初发送包含文本的电子邮件，内容为目标业务（如酒店）急需回复的问题。在目标回复初始邮件后，攻击者才会发送后续信息并链接到他们所称的请求或投诉的详细信息。

社交工程角度涉及的主题广泛，可以概括为两大类：一是关于发送者在近期住宿期间声称遭遇的严重问题的投诉，二是关于未来预订的帮助请求。

Sophos X-Ops已向零售与酒店信息共享与分析中心（RH-ISAC）代表简要说明了这一攻击，特别是在年底假日旅游高峰期。

我写信询问

“投诉”式邮件的内容从指控酒店员工的暴力行为或偏见，到声称“客人”在房间中遗失或被盗物品。这类“信息请求”邮件则包括请求为有严重过敏反应的人提供住宿，询问酒店如何支持商务会议，或询问酒店内无障碍设施的可用性。

在每种情况下，一旦酒店代表回应初始询问以获取更多信息，攻击者就会回复，声称链接到支持其主张或请求的文件。实际上，这些“文件”并非真实的文件，而是装在密码保护的压缩文件中的恶意载荷。

这些链接指向公共云存储服务（如Google Drive），消息正文包含一个通常为数字的密码，提示接收者用于打开下载链接的Zip或Rar档案。

攻击邮件的共同特征

攻击者发送给酒店员工的邮件具有一些特征，使得这些邮件显得更可疑，接受者应更加谨慎。像许多成功的恶意邮件活动一样，这些消息旨在激发情感，并利用目标渴望提供帮助的内在动机——这一特征正好符合在酒店行业工作的成功人士。

例如，攻击者告诉酒店员工，他们在房间中遗留了一部相机，里面有关于最近去世亲属的照片，请求酒店协助寻找相机。

当酒店员工回复询问房间号及预订姓名时，攻击者表现出不满地回复称：“我已经告诉你们我的家庭悲痛，我失去了与母亲最后记忆有关的重要东西，如果我发给你相机的照片，您能帮我吗？”并附上链接和密码“密码：123456”。

在另一次攻击中，攻击者向酒店发送邮件，声称因“无法通过网站或电话联系你们”而请求回复。酒店的预订代理询问他们的计划细节后，攻击者回复称他们已经通过网站预订了房间，但需要为一位有残疾的家属做安排。他们的第二封邮件链接到一个声称包含“医疗记录和医生推荐”的压缩文件，同样包含密码123456，用于打开该文件。

在发给经理的邮件中，攻击者要求解决在酒店遇到的问题。经理回复后，攻击者回复说“我没想到会有如此糟糕的酒店”，描述了一个可怕（虚构）的经历，包括发霉的墙壁，“几乎所有家具都有床虱”，显著影响了他们的住宿舒适度，以及一名员工使用种族歧视的讽刺语言。这封邮件链接到一个托管在Mega.nz的RAR压缩文件，密码同样为123456，发件人声称文件中包含客人与员工之间的冲突视频。

这些邮件都借助共享资料的借口