Pelaku ancaman lain yang menargetkan perhotelan, hotel, dan organisasi perjalanan telah muncul kembali selama musim perjalanan musim panas yang sibuk: pemain yang lebih kecil dan bermotivasi finansial bernama TA558.
Menurut penelitian baru dari Proofpoint, kelompok tersebut telah ada sejak 2018 tetapi meningkatkan serangannya tahun ini, menargetkan penutur bahasa Portugis dan Spanyol yang berlokasi di Amerika Latin, serta target di Eropa Barat dan Amerika Utara.
Email berbahasa Spanyol, Portugis, dan sesekali berbahasa Inggris menggunakan umpan bertema reservasi dengan tema yang relevan dengan bisnis (seperti pemesanan kamar hotel) untuk mendistribusikan lampiran atau URL berbahaya.
Peneliti Proofpoint telah menghitung 15 muatan malware yang berbeda, paling sering Trojan akses jarak jauh (RAT), yang dapat memungkinkan pengintaian, pencurian data, dan distribusi malware lanjutan.
Keluarga malware ini terkadang tumpang tindih dengan domain command-and-control (C2), dengan muatan yang paling sering diamati termasuk Loda, Vjw0rm, AsyncRAT, dan Revenge RAT.
Laporan tersebut menjelaskan bahwa dalam beberapa tahun terakhir, TA558 telah mengubah taktik, mulai menggunakan URL dan file kontainer untuk menyebarkan malware.
โTA558 mulai menggunakan URL lebih sering pada tahun 2022. TA558 melakukan 27 kampanye dengan URL pada tahun 2022, dibandingkan dengan total lima kampanye dari 2018 hingga 2021,โ menurut laporan. โBiasanya, URL mengarah ke file kontainer seperti ISO atau file zip yang berisi file yang dapat dieksekusi.โ
Sherrod DeGrippo, wakil presiden penelitian dan pendeteksian ancaman di Proofpoint, menjelaskan kemungkinan ini sebagai tanggapan terhadap Microsoft yang mengumumkan akan mulai memblokir makro VBA yang diunduh dari Internet secara default.
โAktor ini unik karena mereka menggunakan tema, bahasa, dan penargetan yang sama sejak Proofpoint pertama kali mengidentifikasi mereka pada 2018,โ katanya kepada Dark Reading.
Namun, dia menunjukkan bahwa mereka sering mengubah taktik, teknik, dan prosedur (TTP) dan telah menggunakan muatan malware yang berbeda selama aktivitas mereka.
โIni menunjukkan bahwa pelaku secara aktif mengubah dan menanggapi apa yang paling berhasil atau paling efektif dalam mencapai infeksi awal, menggunakan taktik dan malware yang banyak digunakan oleh berbagai pelaku ancaman,โ katanya.
Dia menjelaskan seperti banyak pelaku ancaman di lanskap ancaman, TA558 telah beralih dari makro dalam lampiran menjadi menggunakan tipe file dan URL lain untuk mendistribusikan malware.
โKemungkinan pelaku lain yang menargetkan industri ini akan menggunakan teknik serupa yang kami jelaskan sebelumnya,โ katanya.
Aktor ancaman memiliki diputar jauh dari dokumen yang mendukung makro dilampirkan langsung ke pesan untuk mengirimkan malware, semakin banyak menggunakan file kontainer seperti lampiran ISO dan RAR dan file Windows Shortcut (LNK).
DeGrippo mengatakan peningkatan aktivitas TA558 tahun ini tidak menunjukkan peningkatan aktivitas yang menargetkan industri perjalanan/perhotelan secara umum.
โNamun, organisasi di industri ini harus mengetahui TTP yang dijelaskan dalam laporan, dan memastikan karyawan dilatih untuk mengidentifikasi dan melaporkan upaya phishing saat teridentifikasi,โ sarannya.
Industri Perjalanan dalam Crosshairs Aktor Ancaman
Serangan terhadap situs web terkait perjalanan mulai bangkit bulan lalu ketika industri pulih dari COVID-19, laporan Juli dari PerimeterX menunjukkan, dengan permintaan bot penggores kompetitif meningkat secara dramatis di Eropa dan Asia.
Ketika pandemi virus corona surut dan konsumen ingin melanjutkan rencana liburan tahunan, para penipu memfokuskan kembali upaya mereka dari layanan keuangan ke industri perjalanan dan rekreasi, menurut TransUnion's analisis triwulanan terbaru.
Beberapa kelompok kejahatan dunia maya telah terlihat tahun ini menjual kredensial curian dan informasi pribadi sensitif lainnya yang dicuri dari situs web terkait perjalanan, dengan metode aktor jahat berkembang karena konsentrasi pada informasi pengenal pribadi.
