En el sector hotelero europeo y asiático, la seguridad cibernética enfrenta una amenaza creciente que podría afectar la operación diaria y la confianza de los huéspedes. Un informe reciente de Microsoft Threat Intelligence revela una campaña de phishing activa dirigida a personal de mostradores, recepción y reservas, utilizando correos electrónicos centrados en quejas de huéspedes, condiciones de las habitaciones, infestaciones de chinches y consultas de reservas.

La táctica aprovecha servicios legítimos para evadir controles de autenticación. Los atacantes emplean herramientas como Calendly y la infraestructura de redirección de Google para sortear verificaciones SPF, DKIM y DMARC, distribuyendo mensajes en varios idiomas, incluidos danés, neerlandés y japonés. Este enfoque, descrito como una forma de “lavado de autenticación”, entrega archivos ZIP con temática fotográfica que parecen imágenes inocuas, pero en su interior esconden un acceso directo (.LNK) que desencadena una cadena de infección compleja y la instalación de un componente persistente basado en Node.js.

Una vez desplegado, el malware modifica configuraciones de seguridad para excluirse de análisis (incluidas exclusiones de Defender) y descarga cargas útiles adicionales, además de copiarse a diferentes ubicaciones en el sistema. En sistemas comprometidos, se observa beaconing de mando y control, recolección de información ambiental (por ejemplo, detalles de la IP pública), ejecución de sesiones de navegador sin interfaz y, en ciertos casos, forzar un apagado inmediato del sistema. Aunque aún no se identifica un objetivo final claro, todo apunta a una etapa de reconocimiento que precede ataques más disruptivos, como malware adicional o ransomware.

Microsoft recomienda a las organizaciones centrarse en detectar el comportamiento asociado a la campaña, más que en indicadores aislados. Señales clave incluyen archivos ZIP con temática fotográfica, actividad inusual de PowerShell, ejecución inesperada de Node.js desde directorios de perfil de usuario, compilaciones .NET iniciadas por PowerShell y cambios de exclusión en Defender. Además, se observan ejecutables aleatorios en carpetas temporales, entradas de registro Run y RunOnce sospechosas, conexiones salientes en puertos no estándar, enlaces a dominios .cfd recién registrados y combinaciones de actividad de navegador sin interfaz seguidas de comandos de apagado forzado.

Este tipo de incidentes subraya la necesidad de un enfoque de seguridad más proactivo en la industria hotelera: monitoreo de comportamiento, segmentación de red, revisión de configuraciones de seguridad y prácticas de respuesta a incidentes que contemplen la detección de movimientos anómalos dentro de entornos de recepción y reservas. La atención debe centrarse en patrones de actividad sospechosa en lugar de depender únicamente de firmas, ya que los atacantes continúan evolucionando sus métodos para pasar despercibidos y escalar su influencia dentro de la red corporativa. La resiliencia operativa depende de una estrategia integral que combine detección temprana, control de accesos y educación continua del personal frente a intentos de ingeniería social.

from Latest from TechRadar https://ift.tt/4vch9yX
via IFTTT IA