Microsoft hat eine Angriffswelle auf das Hotel- und Gastgewerbe in Asien und Europa beobachtet. Sie läuft bereits seit April dieses Jahres. Die Quelle der Angriffe mag Microsoft jedoch nicht genau einordnen – es bleibt unklar, wer hinter den Attacken steckt.

Microsoft berichtet in einem Blogbeitrag, dass die Malware-Kampagne auf .zip-Dateien mit Foto-Namensschema setzt. Die laden potenzielle Opfer mit dem Webbrowser herunter. In den Archiven finden sich Shortcut-Dateien (Verknüpfungen), die als Bilder getarnt sind. Sofern ein Opfer diese etwa mittels Doppelklick startet, fangen diese eine Angriffskette an, die auf verschleierter PowerShell fußt. In der Folge installiert sie ein Node.js-Implantat, nistet sich zweifach in der Registry ein, um Persistenz zu erreichen und kommuniziert mit den Command-and-Control-Servern (C2) über Ports abseits der Standardports.

Kampagnen-Ziel unklar

Die IT-Sicherheitsforscher von Microsoft führen weiter aus, dass die Täter die betroffenen Maschinen nach der Infektion am C2-Server anmelden. Teils erzwingen sie das Herunterfahren der Systeme. Außerdem kompilieren sie Binärdateien im Portable-Executable-Format (PE). Allerdings bleibt den IT-Forschern zufolge unklar, was das eigentliche Ziel der Angreifer ist. Durch die Verschleierung und das Einnisten gehen sie jedoch davon aus, dass sie Nachfolge-Aktivitäten auf den kompromittierten Systemen planen.