Les compagnies hôtelières sont actuellement la cible d’une nouvelle forme de phishing avec des courriers électroniques sans lien malveillant ni pièce jointe mais avec un contenu incitant la réception ou la direction mais dans les courriels initiaux et à répondre simplement à l’escroc qui envoie le premier courriel, un courriel de suivi contenant le lien malveillant ou la pièce jointe. Romain Basset, directeur des services clients Vade, nous en dit un peu plus.
Quel est le fonctionnement de cette nouvelle forme de phishing ?
En testant certains de ses nouveaux modèles d’IA pour la détection d’attaques ciblées, Vade est tombé sur une nouvelle variante de fraude par courriel que l’on pourrait qualifier d'”arnaque à l’hôtel”. Ces courriels ciblent les organisations du secteur de l’hôtellerie et de la restauration. Les expéditeurs se font passer pour des clients qui ont séjourné à l’hôtel et qui ont rencontré un problème pendant leur séjour. Ils prétendent vouloir résoudre le litige avec l’hôtel. Jusqu’à présent, la plupart de ces courriels frauduleux sont courts et ne contiennent aucune charge utile. L’hypothèse est qu’ils seront envoyés dans l’e-mail de suivi si la victime répond, et/ou que cet e-mail de suivi de l’attaquant contiendra une demande d’action risquée, comme par exemple l’escroquerie à la carte de crédit. Cette méthode de “suivi” est très prisée par les auteurs de menaces, car elle offre un prétexte adéquat pour manipuler la victime et l’inciter à agir rapidement, ce qui augmente généralement les chances de succès de l’auteur de l’attaque.
la plupart de ces courriels frauduleux sont courts et ne contiennent aucune charge utile. L’hypothèse est qu’ils seront envoyés dans l’e-mail de suivi si la victime répond
Les hôtels français sont-ils concernés ?
Jusqu’à présent, toutes ces attaques n’ont visé que des organisations anglophones mais il est probable que des hôtels parlant d’autres langues le rencontrent également. Il est possible que notre filtre existant ne les détecte pas encore, tout comme d’autres filtres ne le font pas non plus. À part la langue utilisée, rien n’indique dans ces premiers courriels qu’il s’agit d’un hameçonnage. Voici quelques exemples : « Bonjour, Lors de mon séjour dans votre hôtel, j’ai vécu une situation désagréable dans laquelle votre employé était en tort. J’ai été obligé de contacter mon avocat. Pouvez-vous m’aider ? » ; « Bonjour, Je souhaite vous informer d’un problème que j’ai rencontré avec ma réservation d’hôtel. J’ai besoin d’informations complémentaires et d’assistance. Je compte sur votre réponse rapide ». En termes de choix de destinataire(s)Certains échantillons indiquent “À la direction de l’hôtel”, mais cela peut s’expliquer par le fait que les plaintes sont généralement examinées par la direction. Les courriels semblent être envoyés à l’adresse électronique générique “info@” de l’entreprise qui figure sur son site web.
Peut-on identifier le ou les auteurs de ces courriels de phishing ?
Techniquement, il s’agit d’un logiciel malveillant polyvalent, qui semble être avant tout un infostealer, mais qui a la capacité d’escalader les privilèges, d’établir une persistance et de collecter des informations d’identification. Il pourrait cependant s’agir d’un ransomware, et il y a des preuves que des bibliothèques cryptographiques sont utilisées ici, donc l’acteur de la menace pourrait chercher à crypter les données pour empêcher le fonctionnement normal de l’hôtel. Savoir ensuite qui est l’auteur est vraiment difficile car la méthode de la double extension est couramment utilisée par divers acteurs. Les tactiques changent souvent et il est donc difficile de trouver le “qui”. Il semble qu’il s’agisse d’un acteur de la cybercriminalité dont l’objectif est d’exfiltrer des données. Nous avons trouvé des preuves qu’une autre variante de la même campagne correspond à la règle Yarra de THOR “APT_CN_MAL_Compromised_Certs_May21_1”, laquelle se trouve dans le jeu de règles “Livehunt – China23 Indicators”. TLDR >> Il s’agit très probablement d’un acteur de menace chinois.