Новости Клиент всегда прав, особенно если пишет взломщик. Партнёров Booking.com заражают через жалобы на проживание

NewsMaker

I'm just a script
Премиум
27,956
46
8 Ноя 2022
Сотрудники отелей сами открывают путь вредоносному коду в корпоративную сеть.


is7rhgagv81qnmd5nu5cnb4byy38unoj.jpg

Гостиничные жалобы часто требуют быстрой реакции, и именно на такой спешке сыграли злоумышленники, атаковавшие партнёров Booking.com в Японии через письма от имени гостей. Сотрудникам отелей рассылали сообщения о претензиях к проживанию и просили открыть фотографии или материалы по жалобе, после чего запускалась цепочка заражения TONResolver.

Эксперты Trend Micro заметили атаки в конце мая 2026 года. Письма приходили в виде массового фишинга и через более аккуратную схему с Gmail. Во втором случае злоумышленник сначала писал обычный запрос без ссылки, ждал ответа от сотрудника гостиницы и только затем отправлял вредоносный адрес. Такой подход помогал снизить подозрения перед передачей файла.

Заражение начиналось после перехода по ссылке и загрузки ZIP-архива. Внутри находился ярлык LNK, замаскированный под изображение. После запуска ярлык выполнял команду PowerShell , загружал следующий сценарий, скрыто разворачивал Node.js и запускал JavaScript-вредонос TONResolver на заражённом компьютере.

Главная особенность TONResolver связана с управлением сервером. Вредонос не хранит адрес командного сервера прямо в коде, а получает его через смарт-контракт в блокчейне TON. Если действующий сервер блокируют, атакующие записывают новый адрес в контракт, а заражённые системы автоматически начинают обращаться уже к нему. Такая схема усложняет анализ и мешает быстро оборвать связь.

После запуска TONResolver закрепляется в системе через раздел автозагрузки Windows, отправляет данные о компьютере, имени пользователя, хосте, системе, памяти, процессоре и MAC-адресе, а затем каждые 20 секунд поддерживает соединение с командным сервером. Сам по себе обнаруженный запуск не означал немедленную кражу файлов, но давал операторам возможность выполнять команды, загружать дополнительные файлы и запускать PowerShell.

В одном из наблюдавшихся продолжений атаки с заражённого процесса Node.js был загружен исполняемый файл, который обращался к данным Google Chrome и Microsoft Edge. В этих каталогах хранятся пароли, cookies, история, автозаполнение и закладки, поэтому специалисты связали активность с попыткой кражи учётных данных .

Для снижения риска организациям рекомендуют ограничить доступ рабочих станций к TON и TonAPI, если такие сервисы не нужны для работы, фильтровать внешние соединения PowerShell, отслеживать подозрительный запуск Node.js из пользовательских каталогов и пересмотреть процедуры реагирования на инциденты в компаниях, которые работают с Booking.com.
 
Источник новости
www.securitylab.ru

Похожие темы