📰 Informação fresquinha chegando para você!
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma campanha ativa de phishing tem como alvo organizações hoteleiras e outras organizações de hospitalidade em toda a Europa e Ásia desde abril de 2026, usando arquivos ZIP com temas fotográficos para colocar um implante Node.js e explorar máquinas de recepção, diz a Microsoft.
A empresa não atribuiu a atividade a um agente de ameaça conhecido, e o objetivo final dos operadores ainda não está claro.
A atração depende do modo como os hotéis funcionam. Os e-mails de phishing trazem o nome de exibição "Gerenciador de reservas (via Calendly)" e fazem referência a reclamações de hóspedes, infestações de percevejos, consultas de quartos, inspeções de saúde e avaliações de estadias.
As iscas vieram em japonês, dinamarquês e holandês, sendo o japonês o mais comum. A linha de assunto não nomeia nenhum destinatário ou propriedade, o que aponta para envios de alto volume baseados em listas, em vez de spear phishing personalizado. A pressão é reputacional: reclamações, advertências finais, ameaças de fiscalização.
A entrega é a parte interessante. As operadoras encaminham mensagens através do sistema de notificação por e-mail do Calendly e do serviço de redirecionamento de URL do Google, um truque que a Microsoft chama de lavagem de autenticação. Os e-mails enviados pelo caminho direto do Calendly passam por SPF, DKIM e DMARC, porque na verdade são enviados de uma infraestrutura autorizada.
As verificações confirmam que o remetente tem permissão para enviar. Eles não dizem nada sobre a finalidade da mensagem. Uma cadeia de vários saltos leva a vítima de um link do Calendly até o share.google e um redirecionamento do Google para um domínio .cfd recém-registrado e gerenciado pela Cloudflare. Esse domínio está por trás de um desafio Turnstile que também funciona como anti-análise.
Clique e o alvo fará download de um arquivo chamado photo-.zip. Dentro há um atalho que se apresenta como uma imagem: IMG-.png.lnk na primeira onda, PHOTO-.png.lnk na segunda.
Abri-lo dispara o PowerShell. O script usa a aritmética BigInt para decodificar um URL de download oculto, extrai um .ps1 para %TEMP% e descarta um tempo de execução legítimo do Node.js v24.13.0 de nodejs.org no espaço do usuário, que então executa o implante JavaScript. Nenhuma instalação do Node em todo o sistema é necessária.
O implante é rastreado como TonRAT. Ele resolve seus domínios C2 por meio da API blockchain TON e, em seguida, abre um canal WebSocket criptografado, de acordo com o SOC Prime. A busca de domínios em tempo real torna as listas de bloqueio estáticas menos úteis.
Após o comprometimento, o implante foi direcionado para IPs fixos em portas não padrão: 8443, 8445, 8453, 5555 e 56001 a 56003. Alguns hosts também mostraram automação de navegador headless (--headless --no-sandbox), uma verificação de geolocalização ip-api.com e um desligamento forçado via cmd /c shutdown -s -t 0. A Microsoft não relatou dados confirmados roubo, ransomware ou vítimas nomeadas.
A correção completa deve atingir ambos os caminhos de persistência: a entrada RunOnce apontando para ProgramData e a chave Run do Node.js, além do tempo de execução e dos arquivos .js em AppData\Local\Nodejs. Puxar um deixa o outro vivo. Os sistemas de recepção, reservas e front office são os primeiros lugares a procurar.
A campanha não é totalmente nova. SOC Prime e ITOCHU documentaram o mesmo phishing de hotel e a cadeia LNK-to-PowerShell-to-Node.js cerca de duas semanas antes, e a Microsoft diz que suas descobertas estão alinhadas com esse relatório.
O phishing com tema de reservas direcionado a funcionários de hotéis tem sido um padrão recorrente, incluindo campanhas ClickFix que abandonaram o PureRAT para roubar logins do Booking.com.
O que nenhum dos relatórios consegue responder ainda é o que estes operadores querem. O acesso é durável, a limpeza é fácil de errar e a carga útil final não foi definida. Isso é suficiente para tratar isso como mais do que outro phishing com tema de reserva.
A empresa não atribuiu a atividade a um agente de ameaça conhecido, e o objetivo final dos operadores ainda não está claro.
A atração depende do modo como os hotéis funcionam. Os e-mails de phishing trazem o nome de exibição "Gerenciador de reservas (via Calendly)" e fazem referência a reclamações de hóspedes, infestações de percevejos, consultas de quartos, inspeções de saúde e avaliações de estadias.
As iscas vieram em japonês, dinamarquês e holandês, sendo o japonês o mais comum. A linha de assunto não nomeia nenhum destinatário ou propriedade, o que aponta para envios de alto volume baseados em listas, em vez de spear phishing personalizado. A pressão é reputacional: reclamações, advertências finais, ameaças de fiscalização.
A entrega é a parte interessante. As operadoras encaminham mensagens através do sistema de notificação por e-mail do Calendly e do serviço de redirecionamento de URL do Google, um truque que a Microsoft chama de lavagem de autenticação. Os e-mails enviados pelo caminho direto do Calendly passam por SPF, DKIM e DMARC, porque na verdade são enviados de uma infraestrutura autorizada.
As verificações confirmam que o remetente tem permissão para enviar. Eles não dizem nada sobre a finalidade da mensagem. Uma cadeia de vários saltos leva a vítima de um link do Calendly até o share.google e um redirecionamento do Google para um domínio .cfd recém-registrado e gerenciado pela Cloudflare. Esse domínio está por trás de um desafio Turnstile que também funciona como anti-análise.
Clique e o alvo fará download de um arquivo chamado photo-
Abri-lo dispara o PowerShell. O script usa a aritmética BigInt para decodificar um URL de download oculto, extrai um .ps1 para %TEMP% e descarta um tempo de execução legítimo do Node.js v24.13.0 de nodejs.org no espaço do usuário, que então executa o implante JavaScript. Nenhuma instalação do Node em todo o sistema é necessária.
O implante é rastreado como TonRAT. Ele resolve seus domínios C2 por meio da API blockchain TON e, em seguida, abre um canal WebSocket criptografado, de acordo com o SOC Prime. A busca de domínios em tempo real torna as listas de bloqueio estáticas menos úteis.
Após o comprometimento, o implante foi direcionado para IPs fixos em portas não padrão: 8443, 8445, 8453, 5555 e 56001 a 56003. Alguns hosts também mostraram automação de navegador headless (--headless --no-sandbox), uma verificação de geolocalização ip-api.com e um desligamento forçado via cmd /c shutdown -s -t 0. A Microsoft não relatou dados confirmados roubo, ransomware ou vítimas nomeadas.
A correção completa deve atingir ambos os caminhos de persistência: a entrada RunOnce apontando para ProgramData e a chave Run do Node.js, além do tempo de execução e dos arquivos .js em AppData\Local\Nodejs. Puxar um deixa o outro vivo. Os sistemas de recepção, reservas e front office são os primeiros lugares a procurar.
A campanha não é totalmente nova. SOC Prime e ITOCHU documentaram o mesmo phishing de hotel e a cadeia LNK-to-PowerShell-to-Node.js cerca de duas semanas antes, e a Microsoft diz que suas descobertas estão alinhadas com esse relatório.
O phishing com tema de reservas direcionado a funcionários de hotéis tem sido um padrão recorrente, incluindo campanhas ClickFix que abandonaram o PureRAT para roubar logins do Booking.com.
O que nenhum dos relatórios consegue responder ainda é o que estes operadores querem. O acesso é durável, a limpeza é fácil de errar e a carga útil final não foi definida. Isso é suficiente para tratar isso como mais do que outro phishing com tema de reserva.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #microsoft #alerta #sobre #campanha #de #phishing #de #foto #zip #direcionada #a #hotéis #com #implantação #de #node.js
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário