Gefälschte Reservierungen: Hacker greifen Hotel- und Reiseunternehmen an

Gefälschte Reservierungen – Hacker greifen zur Zeit Hotel- und Reiseunternehmen an. Ein Hacker, der seit 2018 als TA558 bekannt ist, hat seine Aktivitäten in diesem Jahr wieder verstärkt und führt aktuell Phishing-Kampagnen durch, die auf Unternehmen in der Reisebranche und im Hotel- und Gaststättengewerbe abzielen.

Um Zugriff auf die Zielsysteme zu erhalten, werden Remote-Access-Trojaner (RATs) eingesetzt. Mit Hilfe der Remote-Access-Trojaner werden Überwachung durchgeführt, Schlüsseldaten gestohlen und Geld von Kunden erpresst.

Die Phishing-E-Mails, die die Infektionskette einleiten, sind derzeit in Englisch, Spanisch und Portugiesisch verfasst und richten sich an Unternehmen in Nordamerika, Westeuropa und Lateinamerika.

In den versendeten Phishing-E-Mails wird vorgetäuscht, dass es sich dabei um das Vornehmen einer Reservierung oder Buchung handelt. Die Mails stammen fälschlicherweise aus Quellen, denen der Empfänger vertraut, z. B. Reisebüros.

Opfer, die auf die URL (Reservierungslink) im Nachrichtentext klicken, erhalten eine ISO-Datei von einer entfernten Ressource.

Das Archiv enthält eine Batchdatei, die ein PowerShell-Skript startet, das schließlich den Remote-Access-Trojaner (RATs) auf dem Computer des Opfers ablegt und eine geplante Aufgabe erstellt (Task).

Nachdem das Hotelsysteme mit dem Trojaner infiziert wurde, dringt er tiefer in das System oder Netzwerk ein, um Kundendaten und gespeicherte Kreditkartendaten zu stehlen. Ausserdem werden Websites modifiziert, um Reservierungszahlungen umzuleiten.

Im Juli 2022 wurde das Booking.com-Konto des Marino Boutique Hotels in Lissabon, Portugal, gehackt. Der Eindringling stahl innerhalb von vier Tagen 500.000 € von ahnungslosen Kunden, die für die Buchung eines Zimmers bezahlt hatten.

Obwohl die Beteiligung von TA558 in diesem Fall nicht bewiesen wurde, entspricht es dem Vorgehen des Angreifers und gibt zumindest ein Beispiel dafür, wie er seinen Zugriff auf Hotelsysteme monetarisieren könnte.

Quellen: bleepingcomputer.com, proofpoint.com