Фишинговая кампания против отелей скрывает Node.js и PowerShell

Microsoft Threat Intelligence сообщила о многоэтапной хакерской кампании, нацеленной на hotel sector и начавшейся в апреле 2026 года. По данным компании, злоумышленники используют обманные ZIP-архивы с тематикой фотографий, а затем запускают цепочку атак, в которой задействованы PowerShell, Node.js и дополнительные механизмы закрепления в системе.

Как начинается атака

Первичный доступ, как отмечается в отчете, осуществляется через phishing emails с вводящим в заблуждение содержанием, связанным с повседневной работой отелей. В числе приманок — сообщения о жалобах гостей и других срочных вопросах, которые отправляются через легитимные платформы, включая Calendly, чтобы обойти проверки аутентификации электронной почты.

Письма строятся по общим шаблонам и распространяются на разных языках. Основной расчет делается на срочность и психологическое давление: пользователя подталкивают к тому, чтобы он открыл вредоносный ZIP-файл.

Эволюция приманок и цепочки заражения

Microsoft указывает, что приманки в кампании продолжают меняться. Если на раннем этапе использовалось именование файлов с префиксом IMG, то затем злоумышленники перешли к PHOTO. Такая замена, по-видимому, связана с попытками повысить эффективность доставки и снизить вероятность обнаружения.

После открытия архива атака развивается по заранее выстроенной схеме:

• запускаются PowerShell-скрипты;
• далее загружаются динамические библиотеки .NET;
• вторая волна компонентов генерируется с использованием компилятора C# — csc.exe.

По оценке Microsoft, такая последовательность отражает фокус злоумышленников на evasion-техниках и скрытной доставке компонентов непосредственно в систему пользователя.

Закрепление в системе и обход защиты

Особое внимание в кампании уделяется механизму закрепления. Вредоносная активность использует double persistence через ключи реестра Windows, что позволяет сохранять контроль даже после частичного обнаружения средствами защиты, включая Microsoft Defender.

После развертывания встроенный модуль Node.js изменяет настройки Windows Defender, снижая уровень контроля за своей деятельностью. Таким образом, злоумышленники добиваются более устойчивого присутствия в скомпрометированной среде.

Отчет также указывает на использование дополнительных методов закрепления, чтобы обеспечить восстановление внедренного компонента даже после прерывания его работы.

Коммуникация с C2 и сбор данных

После компрометации кампания активно использует каналы управления C2 для связи с различными доменами. В этот же этап входит сканирование среды и сбор информации о системе, что помогает оператору уточнять параметры зараженной инфраструктуры и поддерживать свои оперативные задачи.

Оценка угрозы

Microsoft характеризует кампанию как хорошо спланированную и многоуровневую. В ее основе — социальная инженерия, обфускация и адаптация тактик под попытки обнаружения. По сути, речь идет о действиях продвинутого противника, который умеет быстро менять инструменты и сохранять устойчивость в среде жертвы.

Microsoft рекомендует комплексную стратегию устранения последствий, направленную как на механизмы закрепления, так и на оповещение об их индикаторах компрометации (IOCs).

Почему это важно для hotel sector

Кампания демонстрирует заметную эволюцию тактик и операционную зрелость злоумышленников. Для hotel industry это особенно тревожный сигнал: сектор все чаще становится целью сложных киберугроз, а атаки, замаскированные под рабочую переписку, остаются одним из самых эффективных способов первоначального проникновения.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.