我们或许又将迎来一大批开房记录曝光，这一次是北美酒店

近日，360安全中心发现一波疑似针对北美酒店业的钓鱼邮件攻击。攻击者通过钓鱼邮件将带有恶意代码的附件发送给目标酒店的财务人员，声称酒店拖欠服务费。

旨在诱使收件人打开附件中的恶意文件。

当收件人打开附件中的恶意文件时，恶意代码就会被激活，进而下载并执行NetWiredRC远程控制木马。NetWiredRC非常强大，

可以实现读写注册表、读写文件、截图、录制键盘、模拟键盘/鼠标点击、窃取登录凭证等各种恶意功能。

技术细节如上所述，攻击者谎称目标酒店欠了部分服务的费用，并提醒收件人查看附件中的账单，以诱导收件人打开附件：

钓鱼邮件的附件是ZIP压缩文件，恶意代码解压后包含在快捷方式lnk文件中。

lnk文件的“目标”列中嵌入了一个PowerShell脚本，负责从“http[:]//bit.do/e2VHR”下载恶意组件。

Http[:]//bit.do/e2VHR是一个短网站，真实下载地址是http[:]//13 . 67 . 107 . 73:80/amtq/out-441441271。PS1:

Out-441441271.ps1用作释放器，它将释放。NET木马psd.exe执行后：

Psd.exe经历了层层困惑：

经过消歧，可以看出其核心代码是解密并执行QMLBeOtNWa.exe:

QMLBeOtNWa.exe会在启动目录中释放一个快捷方式，实现病毒自启动：

然后检查NetWiredRC是否已经存在，如果不存在，解密并执行NetWiredRC:

如上所述，NetWiredRC是一种功能强大的远程控制木马，它可以执行以下病毒功能：

解密遥控器的在线地址：

获取磁盘信息：

获取截图：

按键录音：

模拟鼠标点击：

获取LSA登录会话信息：

窃取存储在IE、Comode Dragon、Yandex、Mozilla Firefox、Google Chrome、Chromium、Opera浏览器和OutLook、ThundBird、SeaMonkey以及其他电子邮箱客户端中的登录凭证。

安全建议(1)不要打开来历不明的邮件。收到此类邮件时，正确的做法是提交给安全部门调查确认安全后再打开。

(2)对于安全性未知的文件，不要点击“启用宏”按钮，防止宏病毒入侵。

（3）及时安装系统补丁，以修复系统漏洞。

相关案例（1）2018年11月30日，万豪国际集团就喜达屋旗下酒店的客房预订数据库被黑客入侵。。发表声明。

声明称，最多约有5亿名曾在2018年9月10日或之前预定过该酒店的客人的个人信息可能已遭到泄露。

其中，约有3.27亿客人的姓名、邮寄地址、电话号码、电子邮箱地址、护照号码、账户信息、出生日期、性别以及到达和离开酒店之类的信息已确认遭到泄露。

（2）2018年8月28日，网传疑似华住酒店集团旗下连锁酒店约5亿条用户数据在暗网被人以8比特币或520门罗币的价格出售。

从卖家发布的内容来看，这些数据来自华住旗下汉庭、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等酒店。

泄露的信息包括华住官网注册资料、酒店入住登记的身份信息及酒店开房记录，住客姓名、手机号、邮箱、身份证号、登录账号密码等。

（3）2018年6月14日，巴黎公司FastBooking遭黑客入侵。从该公司网站来看，它向全球100个国家的4000多家酒店出售酒店预订软件。

FastBooking 公司指出，黑客窃取的信息包括旅客的姓氏和名字、国籍、邮政地址、邮件地址以及和酒店预订相关的信息（酒店名称、入住和离店详情）。据推测，全球受影响的酒店数量可能超过1000家。