Bitdefender ha alertado una campaña cibercriminal activa dirigida al sector hotelero que utiliza un motor de reservas vulnerable llamado IRM-NG desarrollado por Resort Data Processing (RDP) con el fin de robar tarjetas de crédito, contraseñas e información personal.
El ataque consta de múltiples módulos maliciosos que se integran con el software legítimo. Además, el malware personalizado y otras amenazas descubiertas demuestran el gran conocimiento de los atacantes sobre el funcionamiento interno de IRM-NG.
Los investigadores de Bitdefender consideran que probablemente no se trata de la primera operación que se lanza contra ese software. Los actores de amenazas utilizan vulnerabilidades en el motor de reservas IRM-NG en combinación con puertas traseras y técnicas para comprometer la validación de contraseñas en el lado del cliente (no en los servidores RDP).
El algoritmo de validación de la contraseña se encuentra en la biblioteca de vínculos dinámicos (DLL) y es débil. Si se invierte la DLL, los atacantes pueden generar la contraseña diaria y autenticarse con éxito en cualquier hotel y, además, pueden poner en marcha otras funciones como la de gestión de contenidos, lo que permite leer los registros.
Bitdefender recomienda a los hoteles, y en especial a los que usan el motor de reservas IRM-NG, estar alerta y aplicar los indicadores de compromiso. Al mismo tiempo, aconseja incorporar una arquitectura de defensa en profundidad e incluir prevención, detección y respuesta a través de soluciones como XDR/EDR o servicios de seguridad gestionada como MDR.
