En anden trussel aktør rettet mod gæstfrihed, hotel og rejseorganisationer er dukket op igen i løbet af den travle sommerrejsesæson: en mindre, økonomisk motiveret spiller ved navn TA558.
Ifølge ny forskning fra Proofpoint har gruppen eksisteret siden 2018, men optrapper sine angreb i år, rettet mod portugisisk og spansktalende lokaliseret i Latinamerika, samt mål i Vesteuropa og Nordamerika.
Spansk, portugisisk og lejlighedsvis engelsksprogede e-mails bruger lokkemidler med reservationstema med forretningsrelevante temaer (såsom booking af hotelværelser) til at distribuere ondsindede vedhæftede filer eller URL'er.
Proofpoint-forskere har talt 15 forskellige malware-nyttelaster, oftest fjernadgangs-trojanske heste (RAT'er), der kan muliggøre rekognoscering, datatyveri og distribution af opfølgende malware.
Disse malware-familier overlapper lejlighedsvis med kommando-og-kontrol-domæner (C2) med de hyppigst observerede nyttelaster, herunder Loda, Vjw0rm, AsyncRAT og Revenge RAT.
Rapporten forklarer, at TA558 i de senere år har ændret taktik og er begyndt at bruge URL'er og containerfiler til at distribuere malware.
"TA558 begyndte at bruge URL'er hyppigere i 2022. TA558 gennemførte 27 kampagner med URL'er i 2022, sammenlignet med kun fem kampagner i alt fra 2018 til 2021," ifølge rapporten. "Typisk førte URL'er til containerfiler såsom ISO'er eller zip-filer, der indeholder eksekverbare filer."
Sherrod DeGrippo, vicepræsident for trusselsforskning og -detektion hos Proofpoint, forklarer, at dette sandsynligvis er et svar på, at Microsoft annoncerede, at det ville begynde at blokere VBA-makroer, der downloades fra internettet som standard.
"Denne skuespiller er unik ved, at de har brugt de samme lokke-temaer, sprog og målretning, siden Proofpoint først identificerede dem i 2018," siger hun til Dark Reading.
Hun påpeger dog, at de ofte ændrer taktik, teknikker og procedurer (TTP'er) og har brugt forskellige malware-nyttelaster i løbet af deres aktivitet.
"Dette tyder på, at skuespilleren aktivt ændrer sig og reagerer på det, der virker bedst eller er mest effektivt til at opnå den første infektion, ved at bruge taktikker og malware, der er meget brugt af en række trusselsaktører," siger hun.
Hun forklarer ligesom mange trusselsaktører i trusselslandskabet, at TA558 har drejet væk fra makroer i vedhæftede filer til at bruge andre filtyper og URL'er til at distribuere malware.
"Det er sandsynligt, at andre aktører, der retter sig mod disse industrier, vil bruge lignende teknikker, som vi tidligere har beskrevet," siger hun.
Trusselsaktører har drejet væk fra makroaktiverede dokumenter vedhæftet direkte til meddelelser for at levere malware, ved i stigende grad at bruge containerfiler såsom ISO- og RAR-vedhæftede filer og Windows Shortcut (LNK)-filer.
DeGrippo siger, at stigningen i aktivitet med TA558 i år ikke er tegn på en stigning i aktiviteten rettet mod rejse- og gæstfrihedsindustrien generelt.
"Organisationer i disse brancher bør dog være opmærksomme på de TTP'er, der er beskrevet i rapporten, og sikre, at medarbejderne er uddannet til at identificere og rapportere phishing-forsøg, når de identificeres," råder hun.
Rejseindustrien i Threat Actor Crosshairs
Angreb mod rejserelaterede websteder begyndte at stige måneder siden, da industrien kom sig over COVID-19, indikerede en julirapport fra PerimeterX, hvor konkurrencedygtige anmodninger om scraping-bot steg dramatisk i Europa og Asien.
Mens coronavirus-pandemien ebber ud, og forbrugerne ser ud til at genoptage årlige ferieplaner, fokuserer svindlere deres indsats fra finansielle tjenester til rejse- og fritidsindustrien, ifølge TransUnions seneste kvartalsanalyse.
Flere cyberkriminalitetsgrupper er blevet set i år sælge stjålne legitimationsoplysninger og andre følsomme personlige oplysninger stjålet fra rejserelaterede websteder, med ondsindede aktørers metoder udvikler sig på grund af koncentrationen om personhenførbare oplysninger.
