Un altro attore di minacce che prende di mira organizzazioni alberghiere, alberghiere e di viaggio è riemerso durante l'intensa stagione estiva dei viaggi: un giocatore più piccolo e finanziariamente motivato di nome TA558.
Secondo una nuova ricerca di Proofpoint, il gruppo è in circolazione dal 2018 ma quest'anno sta intensificando i suoi attacchi, prendendo di mira portoghesi e spagnoli situati in America Latina, nonché obiettivi nell'Europa occidentale e nel Nord America.
Le e-mail in spagnolo, portoghese e occasionalmente in inglese utilizzano esche a tema di prenotazione con temi rilevanti per l'azienda (come le prenotazioni di camere d'albergo) per distribuire allegati o URL dannosi.
I ricercatori di Proofpoint hanno contato 15 diversi payload di malware, il più delle volte Trojan di accesso remoto (RAT), che possono consentire la ricognizione, il furto di dati e la distribuzione di malware successivo.
Queste famiglie di malware si sovrappongono occasionalmente ai domini di comando e controllo (C2), con i payload osservati più di frequente tra cui Loda, Vjw0rm, AsyncRAT e Revenge RAT.
Il rapporto spiega che negli ultimi anni TA558 ha cambiato tattica, iniziando a utilizzare URL e file contenitore per distribuire malware.
"TA558 ha iniziato a utilizzare gli URL più frequentemente nel 2022. TA558 ha condotto 27 campagne con URL nel 2022, rispetto a solo cinque campagne totali dal 2018 al 2021", secondo il rapporto. "In genere, gli URL portavano a file contenitore come ISO o file zip contenenti eseguibili".
Sherrod DeGrippo, vicepresidente della ricerca e rilevamento delle minacce presso Proofpoint, spiega che ciò è probabilmente in risposta all'annuncio di Microsoft che inizierà a bloccare le macro VBA scaricate da Internet per impostazione predefinita.
"Questo attore è unico in quanto ha utilizzato gli stessi temi di richiamo, linguaggio e targeting da quando Proofpoint li ha identificati per la prima volta nel 2018", dice a Dark Reading.
Tuttavia, sottolinea che spesso cambiano tattiche, tecniche e procedure (TTP) e hanno utilizzato diversi payload di malware nel corso della loro attività.
"Questo suggerisce che l'attore sta cambiando attivamente e sta rispondendo a ciò che funziona meglio o è più efficace nel raggiungere l'infezione iniziale, utilizzando tattiche e malware ampiamente utilizzati da una varietà di attori delle minacce", afferma.
Spiega, come molti attori delle minacce nel panorama delle minacce, TA558 è passato dalle macro negli allegati all'utilizzo di altri tipi di file e URL per distribuire malware.
"È probabile che altri attori che prendono di mira questi settori utilizzeranno tecniche simili che abbiamo descritto in precedenza", afferma.
Gli attori delle minacce hanno allontanato dai documenti con abilitazione macro allegati direttamente ai messaggi per inviare malware, utilizzando sempre più file contenitore come allegati ISO e RAR e file LNK (Windows Shortcut).
DeGrippo afferma che l'aumento dell'attività entro il TA558 quest'anno non è indicativo di un aumento dell'attività rivolta ai settori dei viaggi/ospitalità in generale.
"Tuttavia, le organizzazioni di questi settori dovrebbero essere a conoscenza dei TTP descritti nel rapporto e garantire che i dipendenti siano formati per identificare e segnalare i tentativi di phishing una volta identificati", consiglia.
L'industria dei viaggi nel mirino dell'attore di minacce
Attacchi ai siti web relativi ai viaggi cominciò a salire mesi fa, quando l'industria si è ripresa dal COVID-19, un rapporto di luglio di PerimeterX ha indicato che le richieste di scraping-bot competitivi sono aumentate notevolmente in Europa e in Asia.
Mentre la pandemia di coronavirus diminuisce e i consumatori cercano di riprendere i piani per le vacanze annuali, i truffatori stanno riorientando i loro sforzi dai servizi finanziari alle industrie dei viaggi e del tempo libero, secondo TransUnion's ultima analisi trimestrale.
Quest'anno sono stati individuati diversi gruppi di criminalità informatica che vendono credenziali rubate e altre informazioni personali sensibili rubate da siti Web relativi ai viaggi, con il metodi di evoluzione degli attori malintenzionati a causa della concentrazione su informazioni di identificazione personale.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
