Cyberthreat.id – Industri perhotelan sejak lama telah menjadi target penjahat siber yang ingin memanen data tamunya. Serangan bisa berupa email phishing hingga eksploitasi kerentanan pada wi-fi dengan teknik serangan Man-In-The-Middle (MiTM).

Kaspersky, perusahaan keamanan siber (cybersecurity) asal Rusia, pada Kamis (28 November 2019), mengeluarkan riset terbaru terkait kampanye baru penjahat siber yang menyasar industri perhotelan.

Dalam pendeteksiaan baru-baru ini, peneliti Kaspersky menemukan aksi kampanye gerombolan hacker jahat berjuluk “RevengeHotels”.

Peneliti Kaspersky mengatakan, gerombolan itu pertama kali terlihat pada 2015 dan aktif kembali pada tahun ini dengan menyerang setidaknya 20 hotel berturut-turut. Mereka fokus pada hotel, hostel, dan perusahaan perhotelan & pariwisata.

Sebagian besar kampanye terdeteksi terjadi di Brasil. Selain itu peneliti juga mendeteksi di Argentina, Bolivia, Chili, Kosta Rika, Prancis, Italia, Meksiko, Portugal, Spanyol, Thailand, dan Turki.

Teknik yang mereka pakai adalah menyebarkan berbagai Trojan kustom. Malware itu dirancang untuk mencuri data kartu kredit tamu dari sistem hotel yang terinfeksi dan informasi keuangan yang dikirim dari situs web pemesanan pihak ketiga seperti Booking.com.

Rantai serangan dimulai dengan email phishing yang dikirim ke perusahaan perhotelan. Menurut peneliti, pesan email itu ditulis secara profesional dan memanfaatkan kesalahan ketik domain, tapi tampil mengesankan dan tampak asli.

Pesan-pesan itu melampirkan dokumen Word, Excel atau PDF, tapi berbahaya, beberapa di antaranya akan mengeksploitasi CVE-2017-0199, kerentanan Microsoft Office RCE yang ditambal pada 2017.

Jika suatu sistem rentan, skrip VBS atau PowerShell digunakan untuk mengeksploitasi bug, yang mengarah ke penyebaran RevengeRAT, NjRAT, NanoCoreRAT, 888 RAT, ProCC, dan malware khusus lain.

Trojan dapat menggali ke dalam komputer yang terinfeksi, membuat terowongan kembali ke server perintah-dan-kontrol (C2) operator dan mempertahankan diri.

Penjahat juga membuat komponen tambahan, dijuluki ScreenBooking, digunakan untuk mengambil informasi kartu pembayaran.

"Dalam versi awal, pada 2016 file yang diunduh dari kampanye RevengeHotels dibagi menjadi dua komponen: pintu belakang (backdoor) dan komponen untuk menangkap tangkapan layar," kata peneliti seperti dikutip dari ZDNet, Kamis.

"Baru-baru ini kami memperhatikan bahwa komponen-komponen ini telah digabung menjadi satu komponen pintu belakang tunggal yang dapat mengumpulkan data dari clipboard dan menangkap tangkapan layar."

Geng ProCC

Peneliti Kaspersky juga mendeteksi kampanye geng lain bernama ProCC. Geng ini menargetkan sektor yang sama dan menggunakan backdoor yang lebih canggih yang dapat menangkap informasi dari clipboard PC dan spooler printer.

Peneliti juga menyarankan bagi para traveler untuk lebih menggunakan kartu pembayaran virtual ketimbang kartu kredit.

"Jika Anda ingin menjadi pelancong yang cerdas dan aman, sangat disarankan untuk menggunakan kartu pembayaran virtual untuk pemesanan yang dilakukan melalui OTA, karena kartu-kartu ini biasanya berakhir setelah satu kali tagihan," kata peneliti.

"Saat membayar pemesanan Anda atau memeriksa di sebuah hotel, adalah ide bagus untuk menggunakan dompet virtual seperti Apple Pay [atau] Google Pay.”

“Jika itu tidak memungkinkan, gunakan kartu kredit sekunder atau yang kurang penting, karena Anda tidak pernah tahu apakah sistem di hotel ‘bersih’,” tutur peneliti.