Vendéglátóipar kihasználása
A Microsoft Threat Intelligence 2026 áprilisa óta követ egy célzott adathalász kampányt, amely szállodákat és vendéglátóipari szervezeteket támad Európában és Ázsiában. A támadók vendégnek adják ki magukat, és recepciósoknak, foglalási munkatársaknak vagy ügyfélszolgálati alkalmazottaknak küldenek e-maileket szobafoglalással, elveszett tárgyakkal, panaszokkal, ágyi poloskákkal vagy fényképek beküldésével kapcsolatban. Az üzenetek gyakran Calendly hivatkozásokat és Google Redirect URL-eket használnak, hogy átjussanak az SPF-, DKIM- és DMARC-ellenőrzéseken. A hivatkozások egy ZIP archívumhoz vezetnek, amelyben a képfájl helyett egy .LNK parancsikon található. Ennek megnyitása egy többlépcsős fertőzési láncot indít el, obfuszkált PowerShell-parancsok futnak, amelyek .NET komponenseket fordítanak, majd telepítik a TonRAT néven azonosított, Node.js alapú implantátumot. A malware perzisztenciát épít ki Registry Run/RunOnce kulcsokkal, módosítja a Microsoft Defender kizárási listáját, további komponenseket tölt le, rendszerinformációkat gyűjt, headless böngészőket indít, és rendszeresen kapcsolatot létesít a vezérlőszerverrel. A Microsoft szerint a támadók végső célja egyelőre nem ismert, de a megfigyelt tevékenység arra utal, hogy jelenleg elsősorban tartós hozzáférést építenek ki, amelyet később kémkedésre vagy akár zsarolóvírus-támadások előkészítésére használhatnak fel.
A szállodaipar egyre vonzóbb célpont a kiberbűnözők számára, mert a recepciók és foglalási részlegek nagy mennyiségű külső e-mailt dolgoznak fel, miközben érzékeny személyes és pénzügyi adatokat kezelnek. A támadók ezt kihasználva olyan témákat választanak, amelyek a napi munkafolyamatok természetes részét képezik, így a rosszindulatú mellékletek megnyitása kevésbé tűnik gyanúsnak. A Microsoft szerint a védekezés során nem elegendő kizárólag a kártevőminták felismerése, hanem a fertőzési lánc viselkedésére kell koncentrálni, gyanús PowerShell-tevékenység, felhasználói könyvtárból induló Node.js folyamatok, PowerShell által indított .NET-fordítás, Defender-kizárások módosítása, ideiglenes könyvtárból futó végrehajtható állományok, valamint újonnan regisztrált .cfd domainek és nem szabványos portokon zajló hálózati kommunikáció egyaránt kompromittálódásra utalhat.
A vendéglátóipar ellen irányuló támadások egyre kifinomultabbak, és a pszichológiai megtévesztést, legitim felhőszolgáltatásokat, valamint többlépcsős malware-láncokat ötvözve próbálnak hosszú távú hozzáférést szerezni. A Microsoft jelentős mennyiségű indikátort osztott meg az incidensekkel kapcsolatban.
