Recientemente, Microsoft ha alertado sobre una activa campaña de phishing dirigida al sector hotelero y de hospitalidad en Europa y Asia. Los atacantes utilizan archivos ZIP con temática fotográfica para desplegar un implante Node.js, buscando obtener acceso persistente a los sistemas de front desk. Aunque el objetivo final de los operadores, que utilizan el malware TonRAT, aún no se ha esclarecido, la campaña es sofisticada y persistente, lo que representa una seria amenaza.
La técnica de ataque se inicia con correos electrónicos de phishing que simulan ser gestores de reservas, haciendo referencia a quejas de huéspedes, inspecciones o consultas de habitaciones. Un aspecto crítico de esta campaña es el ‘lavado de autenticación’ (authentication laundering): los mensajes se envían a través de sistemas legítimos como Calendly y el servicio de redirección de URL de Google. Esto les permite pasar las verificaciones SPF, DKIM y DMARC, lo que dificulta su detección por parte de los filtros de correo tradicionales.
Tras hacer clic en un enlace legítimo de Calendly que redirige a través de Google, la víctima descarga un archivo ZIP que contiene un acceso directo malicioso (.lnk) disfrazado de imagen. Al ejecutarlo, se activa un script PowerShell que decodifica una URL oculta y descarga un tiempo de ejecución legítimo de Node.js, el cual, a su vez, ejecuta el implante JavaScript TonRAT. Este malware es capaz de resolver sus dominios de comando y control (C2) a través de la API de la blockchain de TON, estableciendo un canal WebSocket cifrado que evade la detección de listas negras estáticas y le permite mantener el control.
La mitigación de esta amenaza requiere una respuesta integral. Es fundamental eliminar no solo el implante Node.js y sus archivos JavaScript asociados de AppData\Local\Nodejs, sino también las entradas de persistencia establecidas en el registro de Windows, específicamente en RunOnce (ProgramData) y la clave Run de Node.js. La omisión de cualquiera de estos pasos puede permitir que la infección persista. Se recomienda prestar especial atención a los sistemas de recepción, reservas y oficina principal, ya que son los objetivos primarios.
Qué significa para tu empresa: Este tipo de ataque de phishing avanzado subraya la necesidad de una defensa multicapa que no solo dependa de la autenticidad del remitente. La sofisticación de técnicas como el ‘lavado de autenticación’ exige una protección del correo robusta que vaya más allá de los controles tradicionales de SPF/DKIM/DMARC, incluyendo análisis de enlaces, detección de suplantación y filtrado de contenido para identificar y neutralizar amenazas antes de que lleguen a los usuarios.
Fuente original: The Hacker News — ver artículo →