Среди жертв кибер-кампании Darkhotel – генеральные директора, вице-президенты, а также топ-менеджеры по продажам и маркетингу предприятий различных сфер деятельности. Киберпреступники действовали незаметно в течение как минимум семи лет.
Злоумышленники распространяли троянские программы для слежки тремя способами: через файлообменные и одноранговые сети, целевые атаки по электронной почте, а также с помощью общественных сетей Wi-Fi в некоторых отелях Азии. Механика последних была тщательно продумана: после того, как жертва заселялась в отель и подключалась ко взломанной сети Wi-Fi, указывая свою фамилию с номером комнаты, ей автоматически предлагалось скачать обновление для популярного ПО – GoogleToolbar, Adobe Flash или Windows Messenger. В действительности запуск инсталлятора приводил к установке бэкдора, который помогал киберпреступникам оценить степень своего интереса к жертве и необходимость доставки более сложных инструментов. Среди них – кейлоггер, троянец Karba, собирающий информацию о системе и установленных защитных продуктах, а также модуль, ворующий сохраненные пароли в Firefox, Chrome и Internet Explorer вкупе с данными доступа к ряду сервисов включая Twitter, Facebook и Google, говорится в сообщении «Лаборатории Касперского».