Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Branża hotelarska stała się celem aktywnej kampanii phishingowej, w której przestępcy podszywają się pod gości składających skargi, komunikaty o kontrolach sanitarnych oraz pilne ostrzeżenia operacyjne. Atak został zaprojektowany z myślą o pracownikach recepcji, rezerwacji i front office, czyli osobach obsługujących na co dzień dużą liczbę wiadomości od klientów i partnerów.
To nie jest typowy phishing nastawiony wyłącznie na wyłudzenie loginów i haseł. W analizowanym scenariuszu kliknięcie prowadzi do uruchomienia wieloetapowego łańcucha infekcji, którego celem jest osadzenie złośliwego implantu i utrzymanie trwałego dostępu do systemu ofiary.
W skrócie
- Atakujący rozsyłają e-maile stylizowane na skargi gości i pilne komunikaty operacyjne.
- Wiadomości kierują ofiary przez kilka etapów przekierowań do archiwum zawierającego złośliwy plik LNK.
- Uruchomienie skrótu aktywuje PowerShell, który pobiera kolejne komponenty infekcji.
- Końcowy etap obejmuje uruchomienie implantu JavaScript z użyciem lokalnie dostarczonego środowiska Node.js.
- Kampania wykorzystuje rozbudowane zaciemnianie oraz podwójną persystencję w rejestrze użytkownika.
Kontekst / historia
Według opublikowanych ustaleń kampania była obserwowana co najmniej od kwietnia 2026 roku i koncentrowała się na organizacjach z sektora hospitality. Dobór celów sugeruje, że operatorzy dobrze rozumieją procesy biznesowe hoteli i obiektów noclegowych, a także realia pracy działów obsługi gości.
W telemetrycznych śladach zainfekowanych środowisk pojawiały się nazwy urządzeń wskazujące na stanowiska recepcji, front desk i rezerwacji, również w różnych wersjach językowych. To ważny sygnał, że atak nie był przypadkowy, lecz precyzyjnie dopasowany do środowiska pracy, w którym presja czasu sprzyja szybkiemu otwieraniu wiadomości o reklamacjach.
Kampania wpisuje się także w szerszy trend nadużywania legalnych usług i zaufanych ścieżek dostarczania poczty. Zamiast prostych, łatwych do wykrycia domen phishingowych, napastnicy stosują wielostopniowe przekierowania i infrastrukturę utrudniającą analizę automatyczną oraz blokowanie na podstawie pojedynczych wskaźników kompromitacji.
Analiza techniczna
Łańcuch infekcji rozpoczyna się od wiadomości e-mail prezentowanych jako komunikaty od „Booking Manager”, rozsyłanych za pośrednictwem legalnej platformy do planowania spotkań. Przynęty obejmują między innymi skargi związane z warunkami pobytu, ostrzeżenia o kontrolach zdrowotnych, finalne wezwania do odpowiedzi i komunikaty sugerujące ryzyko zawieszenia działalności obiektu.
Po kliknięciu użytkownik przechodzi przez kilka etapów przekierowań z udziałem legalnych domen pośredniczących, a następnie trafia do nowo zarejestrowanej domeny ukrytej za mechanizmami ochronnymi. Taka architektura pomaga operatorom odfiltrować ruch analityczny, utrudnić działanie sandboxów i ograniczyć dostarczanie ładunku do wybranych ofiar.
Na końcu pobierane jest archiwum zawierające plik skrótu LNK, którego nazwa sugeruje obraz PNG. Po uruchomieniu skrótu aktywowany jest PowerShell wykorzystujący zaciemnianie oparte na prostych operacjach arytmetycznych oraz dekodowaniu osadzonych danych. Badacze opisali kilka wariantów obfuskacji, jednak logika działania pozostawała zbliżona: odzyskanie adresu kolejnego etapu, pobranie skryptu i uruchomienie go z katalogu tymczasowego.
W następnym kroku skrypt pobiera legalne środowisko Node.js do przestrzeni użytkownika, bez konieczności klasycznej instalacji systemowej. Następnie uruchamiany jest implant JavaScript identyfikowany jako TonRAT z lokalizacji w profilu użytkownika. W części obserwacji widoczny był także etap pośredni związany z dynamiczną kompilacją niewielkich bibliotek DLL przy użyciu narzędzi .NET, co może wskazywać na moduł przygotowawczy, walidację środowiska albo ścieżkę zapasową.
Szczególnie interesujący jest mechanizm persystencji. Kampania korzysta równolegle z wpisu HKCU\Run, który zapewnia uruchamianie komponentu Node.js przy logowaniu użytkownika, oraz z wpisu HKCU\RunOnce wskazującego na ładunek przechowywany w ProgramData. Choć RunOnce standardowo kojarzy się z jednorazowym wykonaniem, w tym przypadku złośliwe oprogramowanie odtwarza konfigurację po uruchomieniu, dzięki czemu utrzymuje aktywność nawet po częściowym czyszczeniu systemu.
Po kompromitacji obserwowano również beaconing do serwerów C2 po niestandardowych portach, użycie trybu przeglądarki bezgłowej, sprawdzanie geolokalizacji zewnętrznego adresu IP oraz wymuszone wyłączenie systemu. Z punktu widzenia obrońcy oznacza to elastyczne, wielofunkcyjne zaplecze, które może zostać wykorzystane do dalszych działań po uzyskaniu przyczółka.
Konsekwencje / ryzyko
Ryzyko dla sektora hotelarskiego jest wysokie, ponieważ celem są stanowiska mające dostęp do systemów rezerwacyjnych, korespondencji z gośćmi, danych osobowych, a nierzadko również procesów płatniczych i integracji z partnerami. Kompromitacja takich punktów końcowych może prowadzić do utraty poufnych informacji oraz przejęcia komunikacji biznesowej.
Dodatkowym problemem jest wykorzystanie legalnych komponentów, takich jak PowerShell i Node.js. Tego rodzaju aktywność może na pierwszy rzut oka przypominać zwykłe działania administracyjne lub deweloperskie, co utrudnia szybką identyfikację incydentu. Z kolei wielowarstwowa persystencja zwiększa szansę na ponowne uaktywnienie się zagrożenia po niepełnej remediacji.
Choć nie potwierdzono jednoznacznie kradzieży danych ani wdrożenia ransomware, charakter infekcji sugeruje budowę trwałego dostępu do hosta. Otwiera to drogę do eksfiltracji danych gości, przejęcia skrzynek pocztowych, oszustw typu BEC, nadużyć finansowych oraz dalszej penetracji infrastruktury organizacji.
Nie można też ignorować warstwy psychologicznej. Wiadomości o reklamacjach i skargach gości wywierają silną presję operacyjną, szczególnie na recepcję i działy obsługi klienta. Właśnie dlatego kampania ma wysoki potencjał skuteczności w środowiskach pracujących pod ciągłą presją czasu.
Rekomendacje
Organizacje z branży hospitality powinny potraktować tę kampanię jako sygnał do przeglądu zabezpieczeń poczty, punktów końcowych i procedur reagowania na incydenty. W pierwszej kolejności warto zaostrzyć polityki filtrowania wiadomości zawierających wieloetapowe przekierowania, archiwa z plikami LNK oraz podejrzane kombinacje rozszerzeń sugerujące obrazy lub dokumenty.
Niezbędne jest także monitorowanie uruchomień PowerShell z kontekstu użytkownika, szczególnie gdy towarzyszy im pobieranie plików do katalogów tymczasowych, tworzenie wpisów autostartu w gałęziach użytkownika, użycie narzędzi kompilacyjnych .NET oraz pojawienie się środowiska Node.js w nietypowych lokalizacjach, takich jak profil użytkownika.
- Tworzyć reguły huntingowe dla plików LNK podszywających się pod obrazy.
- Analizować procesy PowerShell uruchamiane po otwarciu archiwów przez użytkowników biznesowych.
- Monitorować nowe wpisy persystencji w HKCU\Run i HKCU\RunOnce.
- Weryfikować obecność node.exe oraz skryptów JavaScript w AppData\Local i innych niestandardowych ścieżkach.
- Śledzić połączenia wychodzące na niestandardowe porty ze stacji recepcji i rezerwacji.
- Wykrywać uruchomienia przeglądarki w trybie headless na hostach użytkowników nietechnicznych.
Od strony operacyjnej kluczowe pozostaje szkolenie personelu recepcji, front office i rezerwacji. Programy awareness powinny obejmować scenariusze oparte na skargach gości, kontrolach i pilnych reklamacjach, z wyraźnym podkreśleniem, że technicznie poprawna wiadomość nadal może być częścią kampanii phishingowej.
W przypadku wykrycia incydentu remediacja musi objąć wszystkie elementy łańcucha infekcji jednocześnie. Samo usunięcie pojedynczego pliku lub zablokowanie jednej domeny nie wystarczy. Konieczne jest pełne zbadanie profilu użytkownika, katalogu ProgramData, kluczy autostartu, historii PowerShell oraz aktywności narzędzi .NET.
Podsumowanie
Opisana kampania phishingowa pokazuje, że współczesne ataki na sektor hotelarski są coraz lepiej dopasowane do realiów pracy operacyjnej. O ich skuteczności decyduje nie tylko wiarygodna przynęta, ale również umiejętne wykorzystanie legalnych usług, wieloetapowych przekierowań, zaciemniania skryptów i trwałej persystencji.
Dla organizacji z branży hospitality oznacza to konieczność ścisłego monitorowania stacji roboczych obsługi gości, zaostrzenia kontroli poczty i szybkiego reagowania na każdą nietypową aktywność związaną z PowerShell, Node.js oraz autostartem w profilu użytkownika. W praktyce to właśnie połączenie technologii, detekcji i świadomości personelu może ograniczyć skuteczność tego typu operacji.