A Microsoft descobriu um ongoing phishing campaign ataque a hotéis e empresas de hospitalidade em toda a Europa e Ásia, onde atacantes se passam por hóspedes para enganar funcionários a instalar malware que proporciona acesso de longo prazo a sistemas comprometidos.
De acordo com a Microsoft Threat Intelligence, a campanha está ativa desde abril de 2026 e tem como alvo principal a recepção, recepção e equipe de reservas, com e-mails convincentes sobre consultas de reservas, reclamações de clientes, perdas de pertences e problemas com quartos. As mensagens são projetadas para se assemelhar a correspondências legítimas de convidados, aumentando a probabilidade de que os funcionários abram os arquivos anexados.
Em vez de anexar malware tradicional, os atacantes enviam links por meio de serviços confiáveis como Calendly e a infraestrutura de redirecionamento do Google. Essas técnicas ajudam os e-mails a passarem por verificações comuns de autenticação, incluindo SPF, DKIM e DMARC, tornando-os mais legítimos tanto para usuários quanto para sistemas de segurança de e-mail.
As vítimas que baixam o arquivo “Photo.zip” anexado recebem o que parece ser um arquivo de imagem. Na realidade, o arquivo contém um atalho malicioso do Windows (. LNK) disfarçada de foto. Abrir o arquivo inicia uma cadeia de infecção em múltiplos estágios que, em última análise, instala um implante persistente de Node.js no computador da vítima.
A Microsoft afirmou que o malware foi projetado para estabelecer persistência de longo prazo enquanto evita a detecção. Uma vez instalado, ele modifica as configurações do Microsoft Defender, baixa payloads adicionais, cria mecanismos de persistência e começa a se comunicar com servidores de comando e controle. Pesquisadores também observaram o malware coletando informações do sistema, iniciando sessões de navegador sem interface e, em alguns casos, forçando sistemas a desligar inesperadamente.
A empresa não atribuiu a campanha a um ator ameaçador conhecido, e o objetivo final dos atacantes permanece incerto. No entanto, a Microsoft acredita que a atividade observada é consistente com uma fase de reconhecimento que pode preceder roubo de credenciais, implantação de ransomware ou outros ataques subsequentes.
Pesquisadores recomendam focar em indicadores comportamentais em vez de depender apenas de assinaturas de malware conhecidas. Sinais de alerta incluem atividade inesperada do PowerShell, processos Node.js rodando a partir de diretórios de perfis de usuário, alterações suspeitas nas exclusões do Microsoft Defender, executáveis lançados de pastas temporárias, modificações incomuns no registro e conexões de saída para domínios .cfd recém-registrados por portas não padrão.
A campanha destaca uma tendência crescente de atacantes mirando o setor de hospitalidade por meio de e-mails de phishing altamente personalizados. Os hotéis recebem rotineiramente mensagens de hóspedes em potencial, tornando a equipe de reservas particularmente vulnerável a tentativas de engenharia social disfarçadas de comunicações rotineiras com clientes.
A Microsoft aconselha organizações de hospitalidade a treinar os funcionários para verificar anexos inesperados de e-mail, restringir a execução de arquivos de atalho, monitorar atividades suspeitas em PowerShell e Node.js, e garantir que as ferramentas de detecção de endpoints estejam configuradas para identificar anomalias comportamentais, em vez de depender exclusivamente de assinaturas baseadas em arquivos.