- 27,925
- 46
- 8 Ноя 2022
Сначала всё выглядит как обычное фото, но за привычной формой скрывается чужой сценарий.
В гостиничном бизнесе письма с жалобами и фотографиями выглядят рабочей рутиной, и именно этот привычный сценарий злоумышленники превратили во входную точку для новой многоступенчатой кампании против отелей. Microsoft Threat Intelligence выявила активные атаки на гостиничные организации в Европе и Азии, которые идут с апреля 2026 года и пока не связаны с известной группировкой.
Атака начинается с фишинговых писем для сотрудников стойки регистрации, отдела бронирования и других служб, которые часто работают с вложениями от гостей. В письмах используют темы жалоб, состояния номера, отзывов и сообщений о клопах. В конце мая злоумышленники также начали злоупотреблять уведомлениями Calendly и переадресацией Google, чтобы письма проходили проверки SPF, DKIM и DMARC и выглядели похожими на легитимные сервисные сообщения.
Ссылка ведёт через несколько переходов к доменам вида photo-*.cfd, закрытым проверкой Cloudflare Turnstile. После проверки жертве предлагают ZIP-архив с «фотографией», но внутри лежит ярлык LNK, замаскированный под PNG-файл. В первой волне файлы назывались IMG-<числа>.png.lnk, во второй злоумышленники перешли на PHOTO-<числа>.png.lnk.
После запуска ярлык включает PowerShell , который скрытым способом расшифровывает адрес следующего этапа и скачивает дополнительный скрипт. Во второй волне цепочка стала сложнее, появился этап с компиляцией небольшой .NET-библиотеки через csc.exe и cvtres.exe. Затем на заражённой машине запускается компонент на Node.js из пользовательской папки AppData\Local\Nodejs, что позволяет атакующим не зависеть от установленного в системе Node.js.
Закрепление в системе построено сразу на двух ключах реестра. Один запускает Node.js -компонент через HKCU\Run, другой через HKCU\RunOnce указывает на файл в ProgramData. Microsoft отдельно выделяет необычную петлю RunOnce, при которой запись восстанавливается после запуска. В одном подтверждённом случае Defender заблокировал PE-файл, но оставшийся Node.js-компонент спустя примерно два дня снова вышел на командный сервер и попытался доставить новые файлы.
На поздних этапах Microsoft наблюдала соединения с командной инфраструктурой по нестандартным портам, автоматический запуск браузера в фоновом режиме, проверку внешнего сетевого окружения и принудительное выключение устройств. Конечная цель кампании остаётся неясной, но найденные механизмы указывают на подготовку заражённых систем к дальнейшим действиям.
Для снижения риска Microsoft рекомендует считать подозрительными ZIP-архивы с «фото» и LNK-файлы IMG или PHOTO, проверять необычные запуски PowerShell, csc.exe, cvtres.exe и node.exe из пользовательских папок, отслеживать изменения исключений Defender для временных EXE-файлов, искать записи в HKCU\Run и HKCU\RunOnce, а при очистке удалять обе точки закрепления вместе с Node.js Runtime и связанными JS-файлами из AppData\Local\Nodejs.
В гостиничном бизнесе письма с жалобами и фотографиями выглядят рабочей рутиной, и именно этот привычный сценарий злоумышленники превратили во входную точку для новой многоступенчатой кампании против отелей. Microsoft Threat Intelligence выявила активные атаки на гостиничные организации в Европе и Азии, которые идут с апреля 2026 года и пока не связаны с известной группировкой.
Атака начинается с фишинговых писем для сотрудников стойки регистрации, отдела бронирования и других служб, которые часто работают с вложениями от гостей. В письмах используют темы жалоб, состояния номера, отзывов и сообщений о клопах. В конце мая злоумышленники также начали злоупотреблять уведомлениями Calendly и переадресацией Google, чтобы письма проходили проверки SPF, DKIM и DMARC и выглядели похожими на легитимные сервисные сообщения.
Ссылка ведёт через несколько переходов к доменам вида photo-*.cfd, закрытым проверкой Cloudflare Turnstile. После проверки жертве предлагают ZIP-архив с «фотографией», но внутри лежит ярлык LNK, замаскированный под PNG-файл. В первой волне файлы назывались IMG-<числа>.png.lnk, во второй злоумышленники перешли на PHOTO-<числа>.png.lnk.
После запуска ярлык включает PowerShell , который скрытым способом расшифровывает адрес следующего этапа и скачивает дополнительный скрипт. Во второй волне цепочка стала сложнее, появился этап с компиляцией небольшой .NET-библиотеки через csc.exe и cvtres.exe. Затем на заражённой машине запускается компонент на Node.js из пользовательской папки AppData\Local\Nodejs, что позволяет атакующим не зависеть от установленного в системе Node.js.
Закрепление в системе построено сразу на двух ключах реестра. Один запускает Node.js -компонент через HKCU\Run, другой через HKCU\RunOnce указывает на файл в ProgramData. Microsoft отдельно выделяет необычную петлю RunOnce, при которой запись восстанавливается после запуска. В одном подтверждённом случае Defender заблокировал PE-файл, но оставшийся Node.js-компонент спустя примерно два дня снова вышел на командный сервер и попытался доставить новые файлы.
На поздних этапах Microsoft наблюдала соединения с командной инфраструктурой по нестандартным портам, автоматический запуск браузера в фоновом режиме, проверку внешнего сетевого окружения и принудительное выключение устройств. Конечная цель кампании остаётся неясной, но найденные механизмы указывают на подготовку заражённых систем к дальнейшим действиям.
Для снижения риска Microsoft рекомендует считать подозрительными ZIP-архивы с «фото» и LNK-файлы IMG или PHOTO, проверять необычные запуски PowerShell, csc.exe, cvtres.exe и node.exe из пользовательских папок, отслеживать изменения исключений Defender для временных EXE-файлов, искать записи в HKCU\Run и HKCU\RunOnce, а при очистке удалять обе точки закрепления вместе с Node.js Runtime и связанными JS-файлами из AppData\Local\Nodejs.
- Источник новости
- www.securitylab.ru
