最新的全球恶意垃圾邮件活动针对的是酒店业，强调需要始终对此类攻击保持警惕。虚假投诉，真正的恶意软件 – Sophos警告酒店警惕全球恶意垃圾邮件攻击！

Sophos X-Ops的网络安全研究人员向酒店业发出警告，称其存在针对全球酒店的复杂垃圾邮件活动。该活动利用社会工程策略来引诱酒店代表打开受密码保护的档案，其中包含旨在窃取敏感数据的恶意软件。

恶意垃圾邮件攻击是一种网络安全威胁，恶意行为者发送包含恶意软件的电子邮件来感染您的设备并窃取您的数据或破坏您的系统。想象一下，一封垃圾邮件不仅充满了垃圾，还充满了隐藏的陷阱，等待着让您陷入困境。这本质上就是恶意垃圾邮件攻击。

据研究人员称，攻击者瞄准世界各地的酒店，通过电子邮件投诉服务问题（例如声称暴力袭击、偏执行为和盗窃物品）或索取信息（例如要求为过敏症患者提供住宿、业务支持或残疾人无障碍设施或老年客人）在发送恶意负载链接之前创建合法的光环。

就在FortiGuard实验室研究人员发现类似活动针对毫无戒心的用户进行虚假酒店预订/预订骗局的几天后，恶意垃圾邮件活动被报道。在此活动中，诈骗者使用MrAnon Stealer破坏了设备。

这些电子邮件包含指向托管在Google Drive等公共云存储平台上的受密码保护的档案的链接。密码通常很简单（例如“123456”），可授予恶意软件（主要是Redline Stealer或Vidar Stealer系列）的访问权限。它利用密码保护和跳转命令等混淆技术来逃避检测。此外，大文件大小（大于可执行文件）通常包含零作为空格填充，以防止分析。

Sophos研究人员发现，攻击者使用的方法与他们在2023年4月发现的方法相同。这些电子邮件通常涵盖广泛的主题，可大致分为对最近入住酒店期间遇到的严重问题的投诉以及要求提供信息的请求。未来的预订。

无论哪种方式，攻击者都会发送包含在受密码保护的存档文件中的恶意软件有效负载的链接，从而对酒店代表构成威胁。在每种情况下，威胁行为者都会提供文档作为其投诉的证据，其中包含恶意软件。这些信息的设计是为了利用情绪。例如，在其中一条消息中，发件人请求帮助找到装有已故亲戚照片的相机。

在另一个样本中，威胁行为者声称已经通过网站预订了房间，但需要为残疾家庭成员提供住宿，并提供包含医疗记录的ZIP文件的链接。威胁行为者补充说，该链接可能只与Windows计算机兼容。

大多数样本都有代码验证证书，其中一些是新的或假的。端点保护工具可能会从扫描中排除有效证书，或仅检查证书是否存在。该恶意软件连接到Telegram加密消息服务URL。

然后，该机器人从URL下载有效负载，并使用HTTP POST请求提交有关受感染计算机的遥测数据。该恶意软件不会在主机上建立持久性，仅运行一次，提取和泄露数据，然后退出。机器人对机器进行分析并将有关机器的信息发送到机器人控制器。

Sophos X-Ops已从执行该活动的威胁行为者托管的云存储中检索到了50多个独特样本。大多数样本在Virustotal中几乎没有检测到。Sophos已将IoC（妥协指标）发布到其GitHub存储库。

Sophos的首席威胁研究员Andrew Brandt分享了有关恶意垃圾邮件活动的以下评论，解释了该活动给酒店业带来的风险。

“像这样的攻击利用了善意的酒店管理人员，不仅会给酒店带来问题，还会给住在那里的客人带来问题。酒店经理（在某些情况下，字面上）掌握着酒店内发生的所有事情的钥匙，他们的密码使他们能够访问有关员工、客人和访客的大量非公开信息。

“这些攻击中使用的恶意软件并不是特别复杂。一旦这些攻击背后的犯罪分子窃取了密码，他们就可以使用这些凭据来访问其他酒店资产或将凭据出售给其他犯罪分子。虽然这次攻击直接针对酒店经理，但酒店客人（普通消费者）的隐私受到损害，这也是附带损害。”

“出于各种原因，客人依赖酒店工作人员的判断力，但像这样的攻击使酒店工作人员无法保护客户免受可能滥用被盗凭证的网络犯罪分子的侵害。酒店工作人员和一线管理人员应对此次袭击的独特和不寻常特征保持警惕。此外，他们应该注意，此活动中的垃圾邮件发送者没有，并且（当被要求时）将拒绝在消息正文中提供预订详细信息，但可能会试图说服酒店员工此类信息嵌入在链接的恶意链接中。存档文件。

“如果联系酒店的人拒绝在消息本身中提供基本信息，例如登记客人的姓名、入住日期或预订号码，请务必小心。使用受密码保护的存档文件作为交付方法是另一个暴露出严重问题的迹象。

“酒店 IT 经理应在任何可行的地方部署多重身份验证，并将策略推送到Windows计算机，以更改Windows中隐藏已知文件类型的文件后缀的默认设置。这样，安全团队就可以提供有关工作人员打开有危险的文件扩展名（.exe或.scr等）的培训和消息传递。最后，所有用于与访客通信的计算机都应该配备足够的端点保护软件。”