Microsoft, ongoing phishing campaign Avrupa ve Asya’daki oteller ve konaklama işletmelerini hedef alan bir cihaz ortaya çıkardı; saldırganlar, çalışanları uzun vadeli erişim sağlayan zararlı yazılım yüklemeye kandırmak için misafir kimliğini taklit ediyor.
Microsoft Threat Intelligence’a göre, kampanya Nisan 2026’dan beri aktif ve esas olarak resepsiyon, resepsiyon ve rezervasyon personelini, rezervasyon soruları, müşteri şikayetleri, kayıp eşyalar ve oda sorunlarıyla ilgili ikna edici e-postalarla hedefliyor. Mesajlar, meşru misafir yazışmalarını andıracak şekilde tasarlanmış, bu da çalışanların ekli dosyaları açma olasılığını artırır.
Saldırganlar, geleneksel kötü amaçlı yazılım eklemek yerine, Calendly ve Google’ın yönlendirme altyapısı gibi güvenilir hizmetler üzerinden bağlantılar gönderiyor. Bu teknikler, e-postaların SPF, DKIM ve DMARC gibi yaygın kimlik doğrulama testlerinden geçmesine yardımcı olur ve hem kullanıcılar hem de e-posta güvenlik sistemleri için daha meşru görünmesini sağlar.
Ekli “Photo.zip” arşivini indiren mağdurlara, görünüşe göre bir görüntü dosyası sunulur. Gerçekte, arşiv kötü niyetli bir Windows kısayolu (. LNK) fotoğraf kılığına girmiş. Dosyayı açıldığında, çok aşamalı bir enfeksiyon zinciri başlatılır ve sonunda mağdurun bilgisayarına kalıcı bir Node.js implantı kurulur.
Microsoft, kötü amaçlı yazılımın uzun vadeli kalıcılık sağlamak ve tespit edilmemek için tasarlandığını belirtti. Kurulduktan sonra Microsoft Defender ayarlarını değiştirir, ek yükleri indirir, kalıcılık mekanizmaları oluşturur ve komut-kontrol sunucularıyla iletişim kurmaya başlar. Araştırmacılar ayrıca kötü amaçlı yazılımın sistem bilgilerini topladığını, başsız tarayıcı oturumlarını başlattığını ve bazı durumlarda sistemleri beklenmedik şekilde kapanmasına zorladığını gözlemlediler.
Şirket, kampanyayı bilinen bir tehdit aktörüne atfetmedi ve saldırganların nihai amacı hâlâ belirsiz. Ancak Microsoft, gözlemlenen faaliyetlerin, kimlik kartı hırsızlığı, fidye yazılımı dağıtımı veya diğer takip saldırılarından önce gerçekleşebilecek bir keşif aşamasıyla uyumlu olduğuna inanıyor.
Araştırmacılar, yalnızca bilinen kötü amaçlı yazılım imzalarına güvenmek yerine davranışsal göstergelere odaklanmayı öneriyor. Uyarı işaretleri arasında beklenmedik PowerShell faaliyetleri, kullanıcı profil dizinlerinden çalışan Node.js süreçler, Microsoft Defender hariç tutmalarında şüpheli değişiklikler, geçici klasörlerden başlatılan yürütülebilir dosyalar, alışılmadık kayıt değişiklikleri ve standart olmayan portlar üzerinden yeni kayıtlı .cfd alan adlarına giden bağlantılar yer alıyor.
Kampanya, son derece kişiselleştirilmiş oltalama e-postalarıyla konaklama sektörünü hedef alan saldırganların artan bir eğilimini vurguluyor. Oteller rutin olarak potansiyel misafirlerden mesajlar alıyor, bu da rezervasyon personelini rutin müşteri iletişimi kılığına giren sosyal mühendislik girişimlerine karşı özellikle savunmasız hale getiriyor.
Microsoft, konaklama kuruluşlarına çalışanlarını beklenmedik e-posta eklerini doğrulamaya eğitmesini, kısayol dosyalarının yürütülmesini kısıtlamalarını, şüpheli PowerShell ve Node.js aktivitelerini izlemelerini ve uç nokta tespit araçlarının yalnızca dosya tabanlı imzalara dayanmak yerine davranışsal anormallikleri tespit edecek şekilde yapılandırılmasını sağlamalarını tavsiye eder.