“DarkHotel” utiliza certificados falsos na rede Wi-Fi para enganar executivos hospedados em hotéis de luxo.
Foi descoberta por pesquisadores da Kaspersky Lab, empresa de segurança com sede na Rússia, em um relatório publicado nessa segunda-feira, uma ação utilizada via malware que combina ataques avançados de criptografia para atingir executivos de elite que se hospedam em hotéis de luxo na Índia (por enquanto) durante viagens de negócios. Essa ação, ao que tudo indica, já estava em prática há sete anos.
Os hackers por trás do “DarkHotel”, como foi apelidada a ameaça, sabem com antecedência quando um executivo fará check-in e check-out do hotel. As vítimas são infectadas através de uma variedade de métodos, incluindo atualizações de software falsos para Adobe Flash, Google Toolbar, e outros softwares de confiança que são apresentados quando o executivo usa o Wi-Fi ou acessa à Internet com fio do hotel.
As vítimas também são infectadas através de mensagens spearphishing, algumas das quais incluem o código de ataque explorando as vulnerabilidades desconhecidas em Flash, Internet Explorer e outros tipos de software. Uma vez infectado pelo “DarkHotel” são instalados vários keyloggers ou outras formas de malware que são adaptados às vítimas específicas em seus computadores.
O malware monitora senhas, comunicações e informações do sistema em máquinas infectadas e periodicamente envia os dados de forma criptografada para servidores controlados pelos hackers.
Em muitos casos, o código é assinado com um certificado digital confiável (Codesign) que os hackers foram capazes de clonar.
“DarkHotel” também alcançou o BitTorrent feeds, em que o malwares foi baixado mais de 30.000 vezes em menos de seis meses. Sensores de rede de propriedade da Kaspersky detectaram “milhares” de infecções do “DarkHotel”, principalmente a partir do bittorrent. Entre os países mais afetados pelo malware estão: Japão, Taiwan, China, Rússia e Coréia.
Ao saberem informações precisas sobre suas vítimas como nome, e-mail, hotel, quarto, data de check-in e check-out, senhas etc, os hackers fazem ataques individualizados. Utilizam abordagem personalizada o que torna o ação altamente precisa.
“O fato de que na maioria das vezes as vítimas são altos executivos indica que os hackers têm conhecimento de seus paradeiros, incluindo o nome e local de estadia”, escreveram os pesquisadores . “Isso mostra uma perigosa teia escura em que os viajantes desavisados podem facilmente cair. Enquanto a razão exata pela qual alguns hotéis funcionam como um vetor atacante são desconhecidas, existem certas suspeitas, indicando, possivelmente, um compromisso muito maior. Ainda estamos investigando esse aspecto da operação e iremos publicar mais informações no futuro “.
Os pesquisadores da Kaspersky revelam que várias redes de hotéis espalhadas pelo mundo foram afetadas, porém não revelam até o momento quais foram elas e quantas pessoas instalaram via rede Wi-Fi as atualizações de softwares falsificados. Muito menos quantos ataques foram feitos com êxito.
Os certificados Codesign, que assinam os softwares, tem a assinatura da empresa desenvolvedora, porém cada desenvolvedor deveria assinar em conjunto. Quem sabe poderíamos evitar tantas clonagens? Ou será que clonar esses certificados é tão simples assim?
