Uma campanha ativa de phishing tem mirado hotéis e outras organizações do setor de hospitalidade na Europa e na Ásia desde abril de 2026, usando arquivos ZIP com tema de fotos para instalar um componente malicioso em Node.js e invadir máquinas da recepção, informou a Microsoft.
A empresa não atribuiu a atividade a um threat actor conhecido, e o objetivo final dos operadores ainda não está claro.
A isca explora a rotina operacional dos hotéis.
Os e-mails de phishing trazem o nome exibido “Booking Manager (via Calendly)” e mencionam reclamações de hóspedes, infestações de percevejos, dúvidas sobre quartos, inspeções sanitárias e avaliações de estadias.
Os conteúdos foram enviados em japonês, dinamarquês e holandês, com o japonês como idioma mais frequente.
O assunto não cita destinatário nem propriedade, o que indica disparos em massa a partir de listas, e não spear phishing personalizado.
A pressão é reputacional: reclamações, avisos finais e ameaça de inspeções.
O diferencial está na forma de entrega.
Os operadores roteiam as mensagens pelo sistema de notificações por e-mail do Calendly e pelo serviço de redirecionamento de URLs do Google, uma técnica que a Microsoft chama de lavagem de autenticação.
Os e-mails enviados pelo caminho direto do Calendly passam por SPF, DKIM e DMARC, porque realmente saem de uma infraestrutura autorizada.
As verificações confirmam apenas que o remetente tem permissão para enviar.
Elas não dizem nada sobre a finalidade da mensagem.
Em seguida, a cadeia de redirecionamento leva a vítima de um link do Calendly para share.google e, depois, para um domínio .cfd recém-registrado, protegido pela Cloudflare.
Esse domínio fica atrás de um desafio do Turnstile, usado também para dificultar análises.
Ao clicar, o alvo baixa um arquivo chamado photo-<números>.zip.
Dentro dele há um atalho que se disfarça de imagem: IMG-<números>.png.lnk na primeira onda e PHOTO-<números>.png.lnk na segunda.
Ao abrir o arquivo, o PowerShell é executado.
O script usa aritmética BigInt para decodificar uma URL de download oculta, baixa um arquivo .ps1 para %TEMP% e instala em espaço de usuário o runtime legítimo do Node.js v24.13.0, obtido em nodejs.org, que então executa o componente malicioso em JavaScript.
Não é necessário instalar o Node.js em nível de sistema.
Esse componente é rastreado como TonRAT.
Ele resolve seus domínios de C2 por meio da API da blockchain TON e, em seguida, abre um canal WebSocket criptografado, segundo a SOC Prime.
Buscar domínios em tempo real reduz a utilidade de bloqueios estáticos.
Após a invasão, o componente enviou sinais para IPs fixos em portas não convencionais: 8443, 8445, 8453, 5555 e 56001 a 56003.
Alguns hosts também apresentaram automação de navegador sem interface gráfica com os parâmetros --headless --no-sandbox, uma checagem de geolocalização via ip-api.com e um desligamento forçado com cmd /c shutdown -s -t 0.
A Microsoft não relatou roubo confirmado de dados, ransomware nem vítimas identificadas.
A remoção completa precisa atingir os dois caminhos de persistência: a entrada RunOnce que aponta para ProgramData e a chave Run do Node.js, além do runtime e dos arquivos .js em AppData\Local\Nodejs.
Remover apenas um deles deixa o outro ativo.
Os primeiros locais a verificar são os sistemas de recepção, reservas e front office.
A campanha não é nova.
A SOC Prime e a ITOCHU documentaram o mesmo phishing voltado a hotéis e a mesma cadeia de LNK para PowerShell e Node.js cerca de duas semanas antes, e a Microsoft afirma que suas conclusões estão alinhadas com esse relatório.
Phishing com tema de reservas e voltado a funcionários de hotéis tem sido um padrão recorrente, incluindo campanhas ClickFix que distribuíram PureRAT para roubar credenciais do Booking.com.
O que nenhum dos relatórios ainda responde é o que esses operadores realmente querem.
O acesso é persistente, a limpeza pode ser feita de forma incorreta com facilidade e o payload final ainda não foi identificado.
Isso já basta para tratar o caso como algo mais sério do que mais um phishing sobre reservas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...