Osoby stojące za kampanią przechowują w sieciach hotelowych własny zestaw narzędzi, które dają im łatwy dostęp nawet do systemów powszechnie uważanych za bezpieczne. Atakujący czekają, aż po zameldowaniu ofiara połączy się z hotelową siecią Wi-Fi, podając numer pokoju oraz nazwisko jako login. Przestępcy widzą, że ofiara pojawiła się w sieci i nakłaniają ją do pobrania oraz zainstalowania konia trojańskiego, który udaje uaktualnienie dla popularnego oprogramowania – Google Toolbar, Adobe Flash lub Windows Messenger. Niepodejrzewający niczego biznesmen pobiera ten “pakiet powitalny” i infekuje swój komputer oprogramowaniem szpiegującym.
Pobrany na maszynę trojan pomaga atakującym w instalowaniu dalszych narzędzi –podpisanego cyfrowo zaawansowanego keyloggera (trojan Karba), który przechwytuje wszystkie znaki wprowadzane z klawiatury, oraz modułu kradnącego informacje. Aplikacje te gromadzą dane o systemie i zainstalowanych narzędziach bezpieczeństwa, a dodatkowo polują na hasła zapisane w przeglądarkach Firefox, Chrome, Internet Explorer, dane logowania z usług Gmail Notifier, Twitter, Facebook, Yahoo!, Google i inne poufne informacje. Ofiary mogą stracić wiele delikatnych danych, łącznie z własnością firm, które reprezentują. Po zakończeniu operacji atakujący skrzętnie usuwają swoje narzędzia z sieci hotelowej i cierpliwie oczekują na kolejną ofiarę.
Jak nie stać się ofiarą zagrożenia Darkhotel?
Podczas podróży należy traktować jako potencjalnie niebezpieczne nie tylko sieci publiczne, ale nawet te na wpół prywatne (jak np. w hotelach czy centrach biznesowych). Kaspersky Lab zaleca stosowanie się do następujących wskazówek:
- Korzystaj z połączenia VPN, które zapewnia szyfrowaną transmisję danych, podczas uzyskiwania dostępu do publicznych lub na wpół publicznych sieci Wi-Fi.
- Podczas wyjazdów zawsze traktuj aktualizacje oprogramowania z podejrzliwością –zadbaj o instalację wszystkich uaktualnień przed podróżą.
- Zainstaluj wysokiej jakości oprogramowanie bezpieczeństwa internetowego: upewnij się, że oprócz podstawowej ochrony antywirusowej zawiera również proaktywną przed nowymi zagrożeniami.