Alerte – Campagne d’hameçonnage ciblant les hôtels

0
158

Il s’agit d’une variante relativement nouvelle de la fraude par courrier électronique ciblant les hôtels. Il n’y a pas toujours de charge utile dans l’e-mail initial, mais la formulation et le langage utilisés déclenchent les filtres de traitement du langage de Vade comme étant potentiellement de l’hameçonnage. Il faut savoir qu’en l’absence de lien malveillant ou de pièce jointe dans les courriels initiaux, ces courriels ne sont généralement pas signalés comme étant des courriels d’hameçonnage par les filtres de messagerie les plus courants.

Tribune par Romain Basset, directeur des services clients Vade – L’objectif semble être d’inciter la réception de l’hôtel ou la boîte de réception générale de la direction de l’établissement à répondre simplement à l’escroc qui envoie le premier courriel, un courriel de suivi contenant le lien malveillant ou la pièce jointe.

Il semble s’agir d’un logiciel malveillant polyvalent qui vole des informations (infostealer), mais qui a aussi la capacité d’escalader les privilèges, d’établir une persistance et de collecter des informations d’identification (en vue ransomware donc possible). Nos analystes ont trouvé des preuves de l’existence de variantes apparentées qui indiquent qu’il s’agit très probablement d’un acteur chinois, mais les données ne permettent pas de le conclure à 100 %.

Voici le contexte de la découverte initiale :

  • En testant certains de ses nouveaux modèles d’IA pour la détection d’attaques ciblées, Vade est tombé sur une nouvelle variante de fraude par courriel que l’on pourrait qualifier d'”arnaque à l’hôtel”.
  • Ces courriels ciblent les organisations du secteur de l’hôtellerie et de la restauration. Les expéditeurs de ces courriels se font passer pour des clients qui ont séjourné à l’hôtel et qui ont rencontré un problème pendant leur séjour.  Ils prétendent vouloir résoudre le litige avec l’hôtel.
  • Jusqu’à présent, la plupart de ces courriels frauduleux sont courts et ne contiennent aucune charge utile. L’hypothèse est qu’ils seront envoyés dans l’e-mail de suivi si la victime répond, et/ou que cet e-mail de suivi de l’attaquant contiendra une demande d’action risquée, comme par exemple l’escroquerie à la carte de crédit.
  • Pour autant, au moins un courriel trouvé par l’équipe Vade Threat Intelligence contenait un lien redirigeant vers un fichier malveillant, caché sous la forme d’une image donc utilisant l’astuce de la double extension.
  • Jusqu’à présent, toutes ces attaques n’ont visé que des organisations anglophones mais il est probable que des hôtels parlant d’autres langues le rencontrent également. Il est possible que notre filtre existant ne les détecte pas encore, tout comme d’autres filtres ne le font pas non plus. À part la langue utilisée, rien n’indique dans ces premiers courriels qu’il s’agit d’un hameçonnage. Voici quelques exemples :
  • « Bonjour, Lors de mon séjour dans votre hôtel, j’ai vécu une situation désagréable dans laquelle votre employé était en tort. J’ai été obligé de contacter mon avocat. Pouvez-vous m’aider ? » 
  • « Bonjour,  Je souhaite vous informer d’un problème que j’ai rencontré avec ma réservation d’hôtel. J’ai besoin d’informations complémentaires et d’assistance. Je compte sur votre réponse rapide ».

Quelques éléments d’infos en plus :

  • A propos de l’identité de l’auteur de ces courriels de phishing :

Il est vraiment difficile d’attribuer un acteur de menace spécifique car la méthode de la double extension est couramment utilisée par divers acteurs de menace, les tactiques changent souvent et il est donc difficile de trouver le “qui”. Il semble qu’il s’agisse d’un acteur de la cybercriminalité dont l’objectif est d’exfiltrer des données. Nous avons trouvé des preuves qu’une autre variante de la même campagne correspond à la règle Yarra de THOR “APT_CN_MAL_Compromised_Certs_May21_1”, laquelle se trouve dans le jeu de règles “Livehunt – China23 Indicators”. TLDR >> Il s’agit très probablement d’un acteur de menace chinois.

  • A propos des cibles au sein des organisations ? Les employés du service clientèle, les directeurs, les propriétaires, etc.

Certains échantillons indiquent “À la direction de l’hôtel”, mais cela peut s’expliquer par le fait que les plaintes sont généralement examinées par la direction. Les courriels semblent être envoyés à l’adresse électronique générique “info@” de l’entreprise qui figure sur son site web.

  • A propos de la tactique de “suivi”

Cette méthode de “suivi” est très prisée par les auteurs de menaces, car elle offre un prétexte adéquat pour manipuler la victime et l’inciter à agir rapidement, ce qui augmente généralement les chances de succès de l’auteur de l’attaque.

  • Existe-t-il des preuves solides de l’objectif de l’attaque ?

Il s’agit d’un logiciel malveillant polyvalent, qui semble être avant tout un infostealer, mais qui a la capacité d’escalader les privilèges, d’établir une persistance et de collecter des informations d’identification.  Il pourrait cependant s’agir d’un ransomware, et il y a des preuves que des bibliothèques cryptographiques sont utilisées ici, donc l’acteur de la menace pourrait chercher à crypter les données pour empêcher le fonctionnement normal de l’hôtel.