Een groep cyberspionnen die al jarenlang actief is en onder andere via wifi-netwerken van hotels toeslaat, blijkt voor de dagelijkse operaties lnk-bestanden met een Word-icoon te gebruiken. Dat meldt Microsoft. De groep wordt door de softwaregigant Dubnium genoemd, maar staat ook bekend als 'DarkHotel'.

De groep gebruikt verschillende methodes om slachtoffers met malware te infecteren en zo vertrouwelijke informatie te stelen. Zo worden besmette torrent-bestanden en een beveiligingslek in Adobe Flash Player ingezet, maar ook de wifi-netwerken van hotels zijn een doelwit van de groep. Op de portaalpagina om verbinding met het wifi-netwerk te maken verbergen de aanvallers een iframe. Dit iframe toont een pop-up die zich als een update voor populaire software voordoet, maar in werkelijkheid malware is.

Voor de dagelijkse operaties om slachtoffers te infecteren worden bestanden eindigend op .lnk gebruikt. Een lnk-bestand is in werkelijkheid een snelkoppeling om een programma te starten. Via een lnk-bestand is het echter ook mogelijk om PowerShell-opdrachten op het systeem uit te voeren. Om slachtoffers niets te laten vermoeden zijn de lnk-bestanden van een Microsoft Word-icoon voorzien. Aangezien Windows standaard geen bestandsextensies laat zien kunnen gebruikers denken dat het om een Word-document gaat.

Het icoon bevat nog steeds het pijltje wat Windows bij snelkoppelingen laat zien. Een oplettende gebruiker kan dan ook zien dat er iets mis is. Als het lnk-bestand toch wordt geopend zal er via een PowerShell-commando malware op de computer worden gedownload en uitgevoerd. Om slachtoffers niets te laten vermoeden wordt er ook een Word-document gedownload en geopend. In de achtergrond is de malwaref dan al actief en hebben de aanvallers volledige controle over het systeem.