Un autre acteur menaçant ciblant les organisations d'hôtellerie, d'hôtellerie et de voyage a réapparu pendant la saison estivale chargée des voyages : un acteur plus petit et financièrement motivé nommé TA558.
Selon de nouvelles recherches de Proofpoint, le groupe existe depuis 2018 mais intensifie ses attaques cette année, ciblant les lusophones et les hispanophones situés en Amérique latine, ainsi que des cibles en Europe occidentale et en Amérique du Nord.
Les e-mails en espagnol, en portugais et occasionnellement en anglais utilisent des leurres sur le thème de la réservation avec des thèmes pertinents pour l'entreprise (comme les réservations de chambres d'hôtel) pour distribuer des pièces jointes ou des URL malveillantes.
Les chercheurs de Proofpoint ont dénombré 15 charges utiles de logiciels malveillants différentes, le plus souvent des chevaux de Troie d'accès à distance (RAT), qui peuvent permettre la reconnaissance, le vol de données et la distribution de logiciels malveillants de suivi.
Ces familles de logiciels malveillants chevauchent parfois des domaines de commande et de contrôle (C2), les charges utiles les plus fréquemment observées étant notamment Loda, Vjw0rm, AsyncRAT et Revenge RAT.
Le rapport explique que ces dernières années, TA558 a changé de tactique, commençant à utiliser des URL et des fichiers conteneurs pour distribuer des logiciels malveillants.
"TA558 a commencé à utiliser des URL plus fréquemment en 2022. TA558 a mené 27 campagnes avec des URL en 2022, contre seulement cinq campagnes au total de 2018 à 2021", selon le rapport. "Généralement, les URL menaient à des fichiers conteneurs tels que des ISO ou des fichiers zip contenant des exécutables."
Sherrod DeGrippo, vice-président de la recherche et de la détection des menaces chez Proofpoint, explique que cela est probablement dû à l'annonce par Microsoft qu'il commencerait à bloquer les macros VBA téléchargées depuis Internet par défaut.
"Cet acteur est unique en ce sens qu'il a utilisé les mêmes thèmes de leurre, le même langage et le même ciblage depuis que Proofpoint les a identifiés pour la première fois en 2018", a-t-elle déclaré à Dark Reading.
Cependant, elle souligne qu'ils changent souvent de tactiques, de techniques et de procédures (TTP) et ont utilisé différentes charges utiles de logiciels malveillants au cours de leur activité.
"Cela suggère que l'acteur change activement et répond à ce qui fonctionne le mieux ou est le plus efficace pour réaliser l'infection initiale, en utilisant des tactiques et des logiciels malveillants largement utilisés par une variété d'acteurs de la menace", dit-elle.
Elle explique que, comme de nombreux acteurs de la menace dans le paysage des menaces, TA558 s'est éloigné des macros dans les pièces jointes pour utiliser d'autres types de fichiers et URL pour distribuer des logiciels malveillants.
"Il est probable que d'autres acteurs ciblant ces industries utiliseront des techniques similaires à celles que nous avons décrites précédemment", dit-elle.
Les acteurs menaçants ont détourné des documents prenant en charge les macros attachés directement aux messages pour diffuser des logiciels malveillants, en utilisant de plus en plus des fichiers conteneurs tels que des pièces jointes ISO et RAR et des fichiers de raccourcis Windows (LNK).
DeGrippo affirme que l'augmentation de l'activité de TA558 cette année n'est pas indicative d'une augmentation de l'activité ciblant les industries du voyage et de l'hôtellerie en général.
"Cependant, les organisations de ces secteurs doivent être conscientes des TTP décrits dans le rapport et s'assurer que les employés sont formés pour identifier et signaler les tentatives de phishing lorsqu'elles sont identifiées", conseille-t-elle.
L'industrie du voyage dans la ligne de mire des acteurs de la menace
Attaques contre des sites Web liés aux voyages a commencé à monter il y a quelques mois, alors que l'industrie se remettait du COVID-19, selon un rapport de juillet de PerimeterX, les demandes de robots de scraping concurrentiels augmentant considérablement en Europe et en Asie.
Alors que la pandémie de coronavirus diminue et que les consommateurs cherchent à reprendre leurs plans de vacances annuels, les fraudeurs recentrent leurs efforts des services financiers vers les industries du voyage et des loisirs, selon TransUnion. dernière analyse trimestrielle.
Plusieurs groupes de cybercriminels ont été repérés cette année en train de vendre des identifiants volés et d'autres informations personnelles sensibles volées sur des sites Web liés aux voyages, avec le les méthodes des acteurs malveillants évoluent en raison de la concentration sur les informations personnellement identifiables.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
