Una campagna di phishing sta prendendo di mira hotel e organizzazioni dell’ospitalità in Europa e Asia, con un obiettivo che non è ancora stato chiarito. Microsoft Threat Intelligence ha indicato di seguire l’attività da aprile: gli attaccanti cercano di entrare nei sistemi del personale di front desk, reception e prenotazioni, sfruttando comunicazioni costruite per sembrare richieste plausibili di clienti.
Il meccanismo parte da email su reclami degli ospiti, condizioni delle camere, infestazioni di cimici dei letti, richieste di prenotazione e messaggi simili. La scelta del bersaglio non è casuale: il personale alberghiero riceve abitualmente file, immagini e dettagli da persone esterne alla struttura, spesso in tempi rapidi e in più lingue. Nella campagna osservata, i messaggi sono stati inviati anche in danese, olandese e giapponese.
Gli attaccanti non distribuiscono direttamente i messaggi malevoli. Abusano invece di servizi legittimi come Calendly e dell’infrastruttura di redirect di Google, una tecnica che consente di superare con maggiore probabilità i controlli di autenticazione SPF, DKIM e DMARC. Microsoft definisce questo passaggio come una forma di “lavaggio dell’autenticazione”: il messaggio appare più affidabile perché transita attraverso componenti riconosciuti.
Il risultato è l’arrivo di archivi ZIP a tema fotografico nelle caselle delle vittime. All’interno ci sono file scorciatoia .LNK che, a una prima occhiata, sembrano immagini .PNG innocue. In realtà avviano una catena di infezione a più stadi che installa un impianto persistente basato su Node.js, progettato per restare sul sistema compromesso e continuare a comunicare con l’infrastruttura degli attaccanti.
Dopo l’installazione, il malware modifica Microsoft Defender per escludere se stesso e altri eseguibili, generati con nomi casuali, dai processi sottoposti a scansione. Scarica ulteriori payload e si copia in posizioni diverse del sistema. Sulle macchine compromesse, Microsoft ha osservato attività di command and control, raccolta di informazioni sull’ambiente, inclusi i dettagli dell’indirizzo IP pubblico, sessioni di browser headless e, in alcuni casi, arresti immediati del sistema.
L’obiettivo finale della campagna resta non dichiarato dagli indicatori osservati. Il comportamento rilevato punta però a una fase di ricognizione, tipica delle operazioni che precedono attacchi più dirompenti, inclusi malware distruttivi o ransomware. Per il settore alberghiero, la presenza di un impianto persistente su postazioni operative può incidere su prenotazioni, gestione degli ospiti, continuità del servizio e fiducia nei processi digitali che collegano clienti e strutture.
Microsoft raccomanda alle organizzazioni di concentrarsi sul comportamento della campagna più che sui singoli indicatori. Tra i segnali da monitorare rientrano archivi ZIP a tema fotografico, attività anomala di PowerShell, esecuzione inattesa di Node.js da directory del profilo utente, compilazione .NET avviata da PowerShell e modifiche alle esclusioni di Defender. Sono indicatori che raccontano una compromissione progressiva, non un singolo allegato sospetto.
Altri elementi osservati includono eseguibili casuali avviati da cartelle temporanee, voci sospette nei registri Run e RunOnce, connessioni in uscita su porte non standard, contatti con domini .cfd appena registrati e combinazioni di browser headless seguite da comandi di spegnimento forzato. In un ambiente come l’hospitality, dove l’operatività dipende da scambi continui con ospiti e intermediari, la difesa passa dalla capacità di leggere sequenze anomale prima che diventino un incidente più ampio.