Kaspersky ออกรายงานการโจมตีเครือข่าย Wi-Fi ของโรงแรมหลายแห่ง โดยพยายามติดตั้งมัลแวร์ลงในเครื่องของเหยื่อด้วยการดาวน์โหลดอัพเดตปลอมที่อ้างว่าเป็นอัพเดตของ GoogleToolbar, Adobe Flash, หรือ Windows Messenger
ความพิเศษของ Darkhotel คือการเลือกเหยื่อมีการเลือกอย่างเจาะจงไม่ใช่การหว่านแหทั่วไป เหยื่อที่ถูกติดตามเมื่อพยายามล็อกอินเพื่อเข้าใช้งาน Wi-Fi จะได้รับ iframe พิเศษเพื่อล่อให้ติดตั้งซอฟต์แวร์ ขณะที่ระบบตรวจสอบไม่สามารถล่อให้ Darkhotel แสดง iframe เหมือนที่แสดงกับเหยื่อได้ แม้จะยังสรุปแน่ชัดไม่ได้แต่ทีมงาน Kaspersky ระบุว่ามันบ่งชี้ว่ามีการใช้ข้อมูลการเช็คอินโรงแรมเพื่อเลือกเหยื่อ
เมื่อเหยื่อติดตั้งซอฟต์แวร์ชุดแรกแล้ว Darkhotel จะดึงซอฟต์แวร์เพิ่มเติมมาติดตั้ง เช่น keyloggger เพื่อขโมยรหัสผ่าน, ค้นหารหัสผ่านในเบราว์เซอร์, และข้อมูลการล็อกอินในซอฟต์แวร์อื่นๆ
ทีมงานตรวจสอบหลักฐานการโจมตีโรงแรมหนึ่งในช่วงปลายปี 2013 ถึงต้นปี 2014 พบว่าผู้โจมตีลบร่องรอยออกจากเซิร์ฟเวอร์หลังเหยื่อเช็คเอาท์ออกจากโรงแรมแล้ว แสดงให้เห็นว่าผู้ที่โจมตีนี้ระวังเป็นอย่างมากที่จะไม่ให้จับได้ ทาง Kaspersky ระบุว่าจากข้อมูลที่มีบ่งชี้ว่าผู้ควบคุม Darkhotel เป็นกลุ่มที่พูดภาษาเกาหลี
ที่มา - Kaspersky