Microsoft hat ein ongoing phishing campaign Ziel entdeckt, das Hotels und Gastgewerbeunternehmen in Europa und Asien ins Visier nimmt, wo Angreifer Gäste ausgeben, um Mitarbeiter dazu zu bringen, Malware zu installieren, die langfristigen Zugang zu kompromittierten Systemen ermöglicht.
Laut Microsoft Threat Intelligence ist die Kampagne seit April 2026 aktiv und richtet sich hauptsächlich an Rezeption, Rezeption und Reservierungspersonal mit überzeugenden E-Mails zu Buchungsanfragen, Kundenbeschwerden, verlorenen Gegenständen und Zimmerproblemen. Die Nachrichten sind so gestaltet, dass sie legitimer Gästekorrespondenz ähneln, was die Wahrscheinlichkeit erhöht, dass Mitarbeiter die angehängten Dateien öffnen.
Anstatt traditionelle Malware anzuhängen, senden die Angreifer Links über vertrauenswürdige Dienste wie Calendly und Googles Redirect-Infrastruktur. Diese Techniken helfen den E-Mails, gängige Authentifizierungsprüfungen wie SPF, DKIM und DMARC zu bestehen, wodurch sie sowohl für Nutzer als auch für E-Mail-Sicherheitssysteme legitimer erscheinen.
Opfer, die das angehängte “Photo.zip”-Archiv herunterladen, erhalten offenbar eine Bilddatei. In Wirklichkeit enthält das Archiv eine bösartige Windows-Verknüpfung (. LNK) als Foto getarnt. Das Öffnen der Datei löst eine mehrstufige Infektionskette aus, die letztlich ein persistentes Node.js-Implantat auf dem Computer des Opfers installiert.
Microsoft erklärte, die Malware sei darauf ausgelegt, langfristige Persistenz zu etablieren und dabei nicht entdeckt zu werden. Nach der Installation ändert es die Microsoft Defender-Einstellungen, lädt zusätzliche Nutzlasten herunter, erstellt Persistenzmechanismen und beginnt die Kommunikation mit Command-and-Control-Servern. Forscher beobachteten außerdem, dass die Malware Systeminformationen sammelte, kopflose Browsersitzungen startete und in manchen Fällen Systeme unerwartet abschaltete.
Das Unternehmen hat die Kampagne keinem bekannten Bedrohungsakteur zugeschrieben, und das eigentliche Ziel der Angreifer bleibt unklar. Microsoft ist jedoch der Ansicht, dass die beobachtete Aktivität mit einer Aufklärungsphase übereinstimmt, die dem Diebstahl von Zugangsdaten, der Bereitstellung von Ransomware oder anderen Folgeangriffen vorausgehen könnte.
Forscher empfehlen, sich auf Verhaltensindikatoren zu konzentrieren, anstatt sich ausschließlich auf bekannte Malware-Signaturen zu verlassen. Warnzeichen sind unerwartete PowerShell-Aktivitäten, Node.js Prozesse, die aus Benutzerprofilverzeichnissen laufen, verdächtige Änderungen an Microsoft Defender-Ausschlüssen, ausführbare Dateien, die aus temporären Ordnern gestartet werden, ungewöhnliche Änderungen an der Registrierung und ausgehende Verbindungen zu neu registrierten .cfd-Domains über nicht standardisierte Ports.
Die Kampagne hebt einen wachsenden Trend hervor, dass Angreifer den Gastgewerbesektor mit hochgradig personalisierten Phishing-E-Mails ins Visier nehmen. Hotels erhalten routinemäßig Nachrichten von potenziellen Gästen, was das Buchungspersonal besonders anfällig für soziale Manipulationen macht, die sich als routinemäßige Kundenkommunikation tarnen.
Microsoft rät Hospitality-Organisationen, Mitarbeiter darin zu schulen, unerwartete E-Mail-Anhänge zu überprüfen, die Ausführung von Verknüpfungsdateien einzuschränken, verdächtige PowerShell- und Node.js-Aktivitäten zu überwachen und sicherzustellen, dass Endpunkterkennungstools so konfiguriert sind, dass sie Verhaltensanomalien erkennen, anstatt ausschließlich auf dateibasierte Signaturen zu setzen.