酒店业面临着一种新型的密码窃取恶意软件

网络安全研究人员发现了一种新的有针对性的垃圾邮件操纵，该操纵部署了窃取密码的恶意软件。

Sophos X-Ops 发现了该活动，并在已发布的报告中对其进行了描述。

根据该报告，攻击者采用社会工程策略，在发送恶意链接之前，使用电子邮件来抱怨服务问题或请求信息以与目标建立信任。

这种方法反映了之前发现的一项活动，该活动发生在 2023 年 4 月美国联邦纳税申报截止日期之前。

Sophos 的研究人员 Andrew Brandt 和 Sean Gallagher 解释说：“攻击者的社会工程策略包括抱怨客人入住期间发生的暴力或盗窃，以及询问有特殊需要的客人住宿的信息。 ”

一旦酒店对最初的询问做出回应，威胁行为者就会发送后续消息，其中包含隐藏在受密码保护的存档文件中的恶意软件有效负载的所谓文档或证据。

使用这样的密码123456攻击者从公共云存储服务（如 Google Drive）共享文件，使受害者能够打开档案。

值得注意的是，该恶意软件的有效载荷旨在逃避检测。 它们是大小超过 600 MB 的大文件，大部分内容都用零的空格填充。

此外，该恶意软件使用验证证书签名，其中一些是在活动期间获得的新证书，而另一些则是伪造的。

该恶意软件被识别为 Redline Stealer 或 Vidar Stealer 变体，连接到 Telegram 频道并用于命令和控制目的。 它会泄漏数据，包括桌面屏幕截图和浏览器信息，而不会在主机上建立持久性。

Sophos X-Ops 表示，他们已经从与此活动相关的云存储中检索了 50 多个独特的样本，并在其 GitHub 存储库中发布了一个妥协指标。

“我们还报告了来自托管恶意软件的各种云存储提供商的恶意链接，”报告写道。 大多数样本在VirusTotal中几乎没有检测到病毒。 “