En el último mes ha irrumpido un malware altamente sofisticado que, a través de plataformas como Booking, aprovecha ciertas técnicas de ingeniería social (por ejemplo, el pretexto de las alergias alimentarias) para infiltrarse en las redes y sistemas de hoteles y cadenas hoteleras. Alpine Security, compañía especializada en la detección proactiva de amenazas de ciberseguridad, nos advierte sobre el software malicioso conocido como HijackLoader.
A través de plataformas de reservas online como Booking, los ciberdelincuentes están comprometiendo los sistemas informáticos de los hoteles a través de un nuevo software malicioso, el conocido como HijackLoader.
La situación resultará familiar a los recepcionistas y profesionales del sector hotelero: un cliente solicita información sobre las precauciones tomadas para las alergias alimentarias. Su mensaje parece inocente: un enlace de Dropbox o Google Drive, plataformas conocidas y aparentemente confiables que se integran de manera natural en la conversación. Sin embargo, detrás de esta “solicitud” se esconde este peligroso malware.
Según explican los expertos de Alpine Security, los ciberdelincuentes se comunican con los hoteles a través de las plataformas de reservas, utilizando excusas similares y, aprovechando la predisposición del establecimiento a escuchar a sus clientes, proporcionan supuestos documentos médicos.
El verdadero peligro reside en el archivo adjunto, donde el malware acecha a su posible víctima esperando que haga clic en ‘descargar’. El desencadenante de todo este proceso puede poner en riesgo el sistema informático de toda la cadena hotelera.
El objetivo final de estas campañas, atribuido a atacantes rusos, es obtener los datos personales de los clientes para intentar persuadirlos y conseguir pagos a cuentas fraudulentas.
HijackLoader: El malware sigiloso
Este malware, conocido como HijackLoader, se presenta como un cargador de malware modular y sigiloso. Tiene la capacidad de cargar múltiples familias adicionales de malware como Danabot, SystemBC o RedLine Stealer. Lo que hace que sea particularmente peligroso es su diseño modular y su uso de avanzadas técnicas de ocultación, evasión y anti-análisis. Estas características permiten que el malware se ejecute de manera sigilosa, evitando ser detectado por las soluciones de seguridad tradicionales.
Según explican desde Alpine Security, en sus procesos para infectar los sistemas informáticos de las cadenas hoteleras, los ciberdelincuentes inyectan sus binarios maliciosos en procesos legítimos. Dicho malware trata de camuflarse como una herramienta legítima para intentar pasar desapercibido. Asimismo, tiene capacidad de utilizar imágenes PNG alojadas en diversos servicios legítimos para recuperar sus próximas etapas y ampliar las funcionalidades de este. El proceso de recuperación de la carga útil involucra una compleja serie de pasos, incluyendo la identificación de marcas en imágenes y descifrado.
El equipo de ciberseguridad de Alpine Security ha estado investigando (este es su
análisis detallado) y respondiendo activamente a esta amenaza emergente, la compañía ha desarrollado herramientas y procedimientos para identificar y mitigar esta nueva amenaza en la industria hotelera.