Malware CapturaTela ingezet om creditcards te stelen van hotels
Een aanvalscampagne die in december 2018 werd ontdekt, blijkt een gerichte aanval te zijn op met name horeca en in het bijzonder hotelreserveringen. Met behulp van de malware CapturaTela proberen aanvallers creditcardgegevens in handen te krijgen.
Dit meldt het onderzoeksteam Unit 42 van Palo Alto Networks. Wat in december 2018 in eerste instantie een onschuldige online campagne leek, is onderwerp geworden van een diepgaand onderzoek door Unit42. De bewuste campagne richtte zich met name op horeca en in het bijzonder op hotelreserveringen. De eerste analyse liet geen nieuwe of geavanceerde technieken zien maar het sterk aanhoudende karakter van de campagne gaf toch voldoende aanleiding voor verder onderzoek.
CapturaTela
Unit42 volgde netwerksporen en verwerkte de informatie die de actor achterliet, zoals open mappen, metadata van documenten en binaire eigenaardigheden, waardoor een stuk malware gevonden werd dat de naam CapturaTela kreeg. Deze malwarefamilie richt zich op het blootleggen en stelen van creditcard-gegevens van gebruikers. Consumenten worden naar aanleiding van een eerdere booking geconfronteerd met mails die mogelijk malware bevatten.
Unit42 profileerde de bedreigende actor en legde daarmee zowel hun bezorgingsmechanismen bloot als hun arsenaal aan hulpmiddelen voor externe toegang en trojans die informatie ontvreemden. Meer informatie over het onderzoek ‘Operation Comando’ is hier beschikbaar. Hier leest u wat de beslismomenten waren voor Unit42, wat de uitdagingen in deze cybercrime campagne zijn en wat de werkwijze in de opsporing en de ontmanteling van de malware was.