RevengeHotels y ProCC: Los malware dirigidos a empresas turísticas

Kaspersky ha realizado recientemente un informe en el que aparecen varias empresas turísticas que han sufrido este ciberataque en distintos países alrededor del mundo, teniendo especial repercusión en Brasil y el resto de Latinoamérica, aunque, según la compañía, también ha habido víctimas en Europa, entre las que figura España, y Asia.

La finalidad de RevengeHotels y ProCC es la captura de los datos de tarjetas de crédito de los clientes en los sistemas de estas empresas de forma remota, a través de capturas de pantalla, recopilación de la información del portapapeles e incluso también de la cola de impresión en el caso de ProCC. En muchos casos, se ha comprobado que el personal del hotel que confirmaba las reservas extraía los datos de la tarjeta de crédito de los sitios web de agencias de viajes online, momento en el que la información era recopilada por los atacantes.

La técnica para iniciar el ataque es mediante el spear-phishing, es decir, métodos dirigidos a empresas que unen la suplantación de identidad y la ingeniería social aparentando confianza ante la víctima (un empleado del hotel, por ejemplo). Este falso remitente envía a través de correo electrónico una serie de documentos Word, Excel o PDF que la víctima descarga y accede, sin embargo, estos archivos contienen un software malicioso que, a través de procesos informáticos, atacan las vulnerabilidades del sistema para poder instalar en él diferentes versiones del malware (RevengeRAT, NjRAT, NanoCoreRAT, 888 RAT o ProCC).

Por ello, desde las empresas es importante realizar análisis de riesgos, crear políticas que los reduzcan hasta un escaso nivel, aplicar un buen software de seguridad,… Pero, sobre todo, es fundamental crear una cultura de ciberseguridad en los empleados.

En materia de phishing se recomienda prestar atención al objeto del correo electrónico remitido e intentar verificar quién o qué se lo remite, aunque no siempre es fácil, y por qué se lo remite. Un indicio que suele repetirse por parte de estos atacantes es el envío de correos electrónicos desde dominios, (es decir, lo que encontramos tras el “@”), que incluyen erratas o que no son exactamente iguales a los de la empresa o administración a la que dicen pertenecer (a modo de ejemplo: xxxx@buking.com o xxxx@-booking.com, en vez de xxxx@booking.com).

En la otra cara de la moneda, se encuentran los clientes, los cuales acaban siendo las principales víctimas y por ello se les recomienda usar una tarjeta de pago virtual para reservas realizadas en OTAs ya que suelen caducar tras el pago; el uso de una billetera virtual como Apple Pay, Google Pay o similares; o en su defecto, utilizar tarjetas de crédito secundarias con una cantidad limitada de débito disponible.

José Manuel Cañedo

Abogado en MONLEX

jcanedo@binauramonlex.com