Eine Hacking-Kampagne, bei der versucht wird, aus der Ferne Anmeldedaten von Nutzern zu stehlen, die WLAN-Netzwerke in Hotels verwenden, haben Forscher von FireEye aufgedeckt. Die Angreifer verwenden dazu den Windows-Exploit, den Hacker auch für die Verbreitung der Ransomware WannaCry und Petya/NotPetya benutzt haben. Derzeit sind vor allem Hotels in Europa betroffen.

Mit einer Spear-Phishing-Kampagne begann der Angriff auf Hotelketten in mindestens sieben europäischen Ländern und einem Land im Nahen Osten. Mitarbeiter der Unternehmen sollten von E-Mails mit einem schädlichen Dokument mit dem Titel „Hotel_Reservation_form.doc“ dazu verleitet werden, ein Makro auszuführen, welches die typische Malware GameFish einschleust.

Um sich dann im Netzwerk zu verbreiten und Computer zu finden, die für die Verwaltung der internen sowie Gast-WLAN-Netze verantwortlich sind, nutzt GameFish EternalBlue, sobald es in einem Netzwerk installiert wurde. Dann richtet GameFish ein Open-Source-Tool ein, das den Diebstahl von Anmeldedaten über ein drahtloses Netzwerk erlaubt, sobald diese Rechner unter seiner Kontrolle sind.

FireEye geht davon aus, dass es die Täter auf einzelne Hotelgäste wie Geschäftsleute oder Regierungsvertreter abgesehen haben. FireEye will in mindestens einem Fall Belege dafür gefunden haben, dass sich die Angreifer bei der Rechnerübernahme sogar in der Nähe ihres Opfers und im selben WLAN-Netz befanden.

Die Übernahme von Nutzerkonten nach dem Diebstahl der Anmeldedaten wird deutlich erschwert, wenn die Anmeldung in zwei Schritten erfolgt, wie die Forscher darauf hinweisen. Weiterhin betont FireEye, dass öffentliche WLAN-Netze eine erhebliche Bedrohung darstellen können. Sie seien „wann immer möglich zu meiden“.

(ts, hannover)

(siehe auch zdnet.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE