Otro actor de amenazas que se enfoca en organizaciones de hospitalidad, hoteles y viajes ha resurgido durante la ajetreada temporada de viajes de verano: un jugador más pequeño y motivado financieramente llamado TA558.
Según una nueva investigación de Proofpoint, el grupo existe desde 2018, pero está intensificando sus ataques este año, apuntando a hablantes de portugués y español ubicados en América Latina, así como a objetivos en Europa occidental y América del Norte.
Los correos electrónicos en español, portugués y ocasionalmente en inglés utilizan señuelos temáticos de reserva con temas relevantes para el negocio (como reservas de habitaciones de hotel) para distribuir archivos adjuntos o URL maliciosos.
Los investigadores de Proofpoint han contado 15 cargas de malware diferentes, con mayor frecuencia troyanos de acceso remoto (RAT), que pueden permitir el reconocimiento, el robo de datos y la distribución de malware de seguimiento.
Estas familias de malware ocasionalmente se superponen con dominios de comando y control (C2), y las cargas útiles observadas con mayor frecuencia incluyen Loda, Vjw0rm, AsyncRAT y Revenge RAT.
El informe explica que en los últimos años, TA558 ha cambiado de táctica, comenzando a usar URL y archivos contenedores para distribuir malware.
"TA558 comenzó a usar URL con más frecuencia en 2022. TA558 realizó 27 campañas con URL en 2022, en comparación con solo cinco campañas en total entre 2018 y 2021". según el informe. “Por lo general, las URL conducían a archivos contenedores como ISO o archivos zip que contenían ejecutables”.
Sherrod DeGrippo, vicepresidente de investigación y detección de amenazas en Proofpoint, explica que esto probablemente se deba a que Microsoft anunció que comenzaría a bloquear las macros de VBA descargadas de Internet de forma predeterminada.
“Este actor es único en el sentido de que ha utilizado los mismos temas atractivos, lenguaje y orientación desde que Proofpoint los identificó por primera vez en 2018”, le dice a Dark Reading.
Sin embargo, señala que a menudo cambian de tácticas, técnicas y procedimientos (TTP) y han utilizado diferentes cargas útiles de malware en el transcurso de su actividad.
“Esto sugiere que el actor está cambiando activamente y respondiendo a lo que funciona mejor o es más efectivo para lograr la infección inicial, utilizando tácticas y malware ampliamente utilizados por una variedad de actores de amenazas”, dice.
Ella explica que, como muchos actores de amenazas en el panorama de amenazas, TA558 se ha alejado de las macros en los archivos adjuntos para usar otros tipos de archivos y URL para distribuir malware.
“Es probable que otros actores que se dirijan a estas industrias utilicen técnicas similares a las que describimos anteriormente”, dice.
Los actores de amenazas tienen alejado de los documentos habilitados para macros adjuntos directamente a los mensajes para entregar malware, utilizando cada vez más archivos contenedores como archivos adjuntos ISO y RAR y archivos de acceso directo de Windows (LNK).
DeGrippo dice que el aumento en la actividad de TA558 este año no es indicativo de un aumento de la actividad dirigida a las industrias de viajes/hotelería en general.
“Sin embargo, las organizaciones en estas industrias deben conocer los TTP descritos en el informe y asegurarse de que los empleados estén capacitados para identificar e informar los intentos de phishing cuando se identifiquen”, aconseja.
La industria de viajes en la mira de los actores amenazantes
Ataques contra sitios web relacionados con viajes empezó a subir Hace unos meses, cuando la industria se recuperó de la COVID-19, según indicó un informe de julio de PerimeterX, las solicitudes competitivas de scraping-bot aumentaron drásticamente en Europa y Asia.
A medida que la pandemia de coronavirus disminuye y los consumidores buscan reanudar los planes de vacaciones anuales, los estafadores están reenfocando sus esfuerzos de los servicios financieros a las industrias de viajes y ocio, según TransUnion's último análisis trimestral.
Este año se han detectado varios grupos de delitos cibernéticos que venden credenciales robadas y otra información personal confidencial sustraída de sitios web relacionados con viajes, con el métodos de evolución de los actores maliciosos debido a la concentración en la información de identificación personal.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
