Alerta da Microsoft: Ataque hacker mira hotéis usando arquivos ZIP de fotos
Microsoft emite alerta urgente sobre campanha de phishing que usa o Calendly e o Google para infectar computadores de hotéis e roubar dados. Proteja seu negócio!
Editor TecDicas


Microsoft Alerta: Nova Onda de Ataques Hacker Usa Fotos Falsas para Invadir Hotéis
Uma campanha massiva e altamente sofisticada de cibercrime está colocando o setor de hotelaria e turismo em alerta máximo. A Microsoft emitiu um aviso urgente detalhando uma operação de phishing que utiliza falsas reclamações de hóspedes e arquivos de fotos compactados (ZIP) para infectar computadores de recepção e sistemas de reservas em toda a Europa e Ásia.
O ataque chama a atenção pela inteligência de sua engenharia social: os criminosos se passam por falsos clientes enviando prazos urgentes, ameaças de inspeção sanitária ou reclamações graves, como infestação de percevejos nas camas. O objetivo é fazer com que o funcionário da recepção aja por impulso para salvar a reputação do hotel.
Lavagem de Autenticação: O Truque para Enganar os Filtros de E-mail
Para garantir que as mensagens maliciosas cheguem à caixa de entrada principal e não caiam no lixo eletrônico (SPam), os golpistas criaram uma tática que a Microsoft apelidou de "lavagem de autenticação".
Em vez de enviar os e-mails por servidores suspeitos, os hackers utilizam o sistema de notificações legítimo do Calendly usando o nome de exibição "Booking Manager". Como o e-mail realmente parte de uma plataforma confiável, ele passa sem problemas pelos testes de segurança globais (como SPF, DKIM e DMARC).
A partir daí, a vítima clica em um link que faz múltiplos desvios — passando inclusive por redirecionadores oficiais do Google — até chegar a um site malicioso protegido por sistemas que impedem a análise de antivírus comuns.
O Perigo Escondido no Arquivo "PHOTO.ZIP"
Quando o funcionário do hotel morde a isca, o site faz o download de um arquivo compactado, geralmente nomeado como photo-<numeros>.zip. Lá dentro, há um arquivo que finge ser uma imagem comum (PHOTO-123.png.lnk), mas que na verdade é um atalho malicioso.
Ao ser aberto, esse arquivo executa silenciosamente os seguintes passos no computador do hotel:
Ativa o PowerShell do Windows para rodar um script oculto.
Faz o download automático do ambiente legítimo Node.js direto para a máquina do usuário (sem precisar de privilégios de administrador).
Executa um vírus perigoso conhecido como TonRAT.
Uso da Blockchain para fugir de bloqueios
O vírus TonRAT utiliza uma tecnologia avançada para se comunicar com os criminosos: ele descobre quais servidores deve atacar consultando a API da blockchain do Telegram (TON). Como os endereços mudam constantemente dentro da rede descentralizada, as listas de bloqueio estáticas dos antivírus tradicionais tornam-se praticamente inúteis.
Embora a Microsoft ainda não tenha confirmado o roubo massivo de dados financeiros ou a aplicação de ransomware (sequestro de dados por resgate), o acesso conquistado pelos criminosos nos computadores da recepção é altamente duradouro e perigoso.
Como Proteger o seu Negócio Hospitalar?
A limpeza desse malware é complexa porque os invasores criam múltiplos caminhos de persistência no Windows. Se o suporte de TI do hotel apagar apenas os arquivos infectados sem limpar os registros do sistema (como as chaves RunOnce no ProgramData), o vírus volta a se instalar na próxima vez que o computador for ligado.
Para proteger sua empresa:
Treine a recepção: Nenhum gerenciador de reservas ou hóspede legítimo precisa enviar arquivos ZIP contendo atalhos .LNK para provar uma reclamação.
Atenção aos links: Desconfie de e-mails que exigem cliques em links externos do Calendly ou Google para visualizar mensagens simples de hóspedes.
Restrição de Execução: Configure as máquinas da recepção para bloquear a execução de scripts do PowerShell por usuários comuns.
Perguntas Frequentes (FAQ) para SEO
O que é o golpe do arquivo ZIP de fotos contra hotéis?
É uma campanha hacker onde criminosos enviam e-mails a hotéis fingindo ser hóspedes fazendo reclamações urgentes. Eles induzem o funcionário a baixar um arquivo ZIP com supostas fotos do problema, que na verdade instala um malware chamado TonRAT.
Como os e-mails falsos burlam o antivírus do hotel?
Os criminosos usam a infraestrutura oficial do Calendly e redirecionamentos do Google para enviar as mensagens. Como os servidores de origem são legítimos, os sistemas de segurança de e-mail não bloqueiam a mensagem inicial.
O que o vírus TonRAT faz no computador infectado?
Ele cria uma conexão direta e criptografada com os servidores dos hackers utilizando a tecnologia de blockchain. Ele roda em segundo plano através do Node.js e dá controle remoto aos invasores sobre os sistemas de recepção e reserva.
Como remover o malware de Node.js apontado pela Microsoft?
A remoção exige suporte técnico especializado. É necessário limpar tanto os arquivos executáveis do Node.js ocultos na pasta AppData\Local, quanto as chaves de inicialização automática do Windows criadas nas pastas ProgramData.
Sua empresa trabalha com turismo ou hotelaria? Compartilhe este alerta com sua equipe de TI e recepcionistas para blindar o seu negócio contra invasões!
🛠️ Conheça as Ferramentas Online com Privacidade Total do TecDicas
Precisa resolver uma tarefa rápida no seu dia a dia digital com segurança máxima? Na nossa seção de Ferramentas, todos os utilitários rodam direto no navegador da sua máquina.
🔒 Segurança Absoluta: Chega de baixar programas suspeitos ou fazer upload de arquivos confidenciais. Como o processamento é 100% local, seus dados nunca saem do seu computador ou celular.
Acesse os nossos utilitários gratuitos mais acessados:
💡 Confira também nossos comparativos atualizados:
Melhores Celulares de Entrada em 2026: Qual Comprar até R$ 1.300
Melhor celular para idosos em 2026: simples, fácil de usar e com bom custo-benefício
Os 5 Melhores Notebooks Gamer de 2026 para Comprar no Brasil
Melhores SSD Custo-Benefício 2026: Guia Completo Para Escolher
Melhores Power Banks Baseus: 3 Modelos com Melhor Custo-Benefício em 2026
