Sophos 侦测到多起锁定饭店的恶意活动

Sophos X-Ops 发现了多起针对全球各地饭店的异常「恶意邮件」活动。该活动最初是一封垃圾邮件，内容可能是服务客诉 (如抱怨房间有臭虫) 或是索取预订房间所需的额外信息。一旦饭店员工回应了最初的询问，攻击者便会发送包含恶意装载的「文件」，该文件被打包在一个设有密码保护的压缩档案中。

这个恶意软体是众所周知的凭证窃取恶意软体 Redline Stealer 家族的成员。

Sophos 首席威胁研究员 Andrew Brandt 表示：「这类攻击滥用了饭店管理人员服务旅客的善意，不仅会对饭店造成问题，也会影响到入住的旅客。饭店管理人员保管所有场地内的一切，他们的密码 (和钥匙) 能够让他们取得许多和员工、入住旅客和临时游客的非公开信息。

「这些攻击中使用的恶意软体并不是特别复杂。一旦发动攻击的犯罪分子窃得密码，他们就可以利用这些凭证来进入其他饭店资产，或是将凭证卖给其他罪犯。尽管这次攻击是直接锁定饭店管理人员，但饭店旅客——普通消费者——的隐私受到危害，他们成了连带的受害者。

「旅客信任饭店员工在处理事情时能够保持谨慎与保密，但这类攻击剥夺了饭店员工保护旅客免受网路犯罪分子滥用窃来的凭证的能力。

「饭店员工和第一线管理人员应对这种特殊攻击和不寻常的特徵保持警惕。此外，他们应该注意到，在这波攻击中垃圾邮件发送者没有且拒绝在邮件内提供订房信息 (一旦被问到时) ，而是试图说服饭店员工打开一个连结到的恶意压缩档案。

「当与饭店联系的人拒绝在邮件中提供基本信息，例如订房旅客的姓名、入住日期或订房编号时，就应该提高警觉。提供有密码保护的压缩档，也是另一个明显的警讯，表明事有蹊跷。

「饭店的 IT 管理人员应在所有可行之处部署多因素验证，并落实修改 Windows 电脑预设设定的政策，要求显示档案副档名。」