שחקן איום נוסף המכוון לארגוני אירוח, בתי מלון ונסיעות עלה מחדש במהלך עונת הנסיעות העמוסה בקיץ: שחקן קטן יותר, בעל מוטיבציה כלכלית בשם TA558.
על פי מחקר חדש של Proofpoint, הקבוצה קיימת מאז 2018 אך מגבירה את התקפותיה השנה, מכוונת לדוברי פורטוגזית וספרדית הממוקמים באמריקה הלטינית, כמו גם מטרות במערב אירופה ובצפון אמריקה.
הודעות דוא"ל בספרדית, פורטוגזית ומדי פעם בשפה האנגלית משתמשות בפתיונות בנושא הזמנה עם נושאים רלוונטיים לעסקים (כגון הזמנת חדרים במלון) כדי להפיץ קבצים מצורפים או כתובות URL זדוניות.
חוקרי הוכחה ספרו 15 מטענים שונים של תוכנות זדוניות, לרוב סוסים טרויאניים בגישה מרחוק (RATs), שיכולים לאפשר סיור, גניבת נתונים והפצה של תוכנות זדוניות עוקבות.
משפחות תוכנות זדוניות אלו חופפות מדי פעם לדומיינים של פקודה ושליטה (C2), כאשר המטענים הנצפים ביותר כוללים את Loda, Vjw0rm, AsyncRAT ו-Revenge RAT.
הדו"ח מסביר שבשנים האחרונות, TA558 שינתה את הטקטיקה, והחלה להשתמש בכתובות URL וקבצי מיכל כדי להפיץ תוכנות זדוניות.
"TA558 החל להשתמש בכתובות URL בתדירות גבוהה יותר בשנת 2022. TA558 ערך 27 קמפיינים עם כתובות אתרים בשנת 2022, בהשוואה לחמישה קמפיינים בסך הכל מ-2018 עד 2021," לפי הכתבה. "בדרך כלל, כתובות URL הובילו לקבצי מיכל כגון ISOs או קבצי zip המכילים קובצי הפעלה."
שרוד דה-גריפו, סגן נשיא לחקר וגילוי איומים ב-Proofpoint, מסביר שזה ככל הנראה בתגובה למיקרוסופט שהודיעה שהיא תתחיל לחסום פקודות מאקרו VBA שהורדו מהאינטרנט כברירת מחדל.
"השחקן הזה ייחודי בכך שהם השתמשו באותם נושאי פיתוי, שפה ומיקוד מאז ש-Proofpoint זיהתה אותם לראשונה ב-2018", היא אומרת ל-Dark Reading.
עם זאת, היא מציינת שהם משנים לעתים קרובות טקטיקות, טכניקות ונהלים (TTPs) והשתמשו במטענים שונים של תוכנות זדוניות במהלך פעילותם.
"זה מצביע על כך שהשחקן משתנה באופן אקטיבי ומגיב למה שעובד הכי טוב או הכי יעיל בהשגת הדבקה ראשונית, תוך שימוש בטקטיקות ותוכנות זדוניות בשימוש נרחב על ידי מגוון גורמי איומים", היא אומרת.
היא מסבירה כמו גורמי איומים רבים בנוף האיומים, TA558 התרחק מפקודות מאקרו בקבצים מצורפים לשימוש בסוגי קבצים וכתובות URL אחרים כדי להפיץ תוכנות זדוניות.
"סביר להניח ששחקנים אחרים המכוונים לתעשיות האלה ישתמשו בטכניקות דומות שתיארנו בעבר", היא אומרת.
איום שיש לשחקנים מורחק ממסמכים התומכים במאקרו מצורף ישירות להודעות כדי להעביר תוכנות זדוניות, תוך שימוש הולך וגובר בקבצי מיכל כגון קבצי ISO ו-RAR וקבצי קיצור של Windows (LNK).
DeGrippo אומר שהגידול בפעילות על ידי TA558 השנה אינו מעיד על עלייה בפעילות המיועדת לענפי הנסיעות/אירוח בכלל.
"עם זאת, ארגונים בתעשיות אלה צריכים להיות מודעים ל-TTPs המתוארים בדוח, ולוודא שהעובדים עברו הכשרה לזהות ולדווח על ניסיונות דיוג כאשר הם מזוהים", היא מייעצת.
תעשיית הנסיעות בצלבת השחקן האיום
התקפות נגד אתרים הקשורים לנסיעות התחיל לעלות לפני חודשים, כשהתעשייה התאוששה מ-COVID-19, דיווח יולי מ-PerimeterX ציין, עם בקשות תחרותיות לגרידה תחרותיות שגדלו באופן דרמטי באירופה ובאסיה.
בעוד מגיפת נגיף הקורונה מתפוגגת והצרכנים מחפשים לחדש את תוכניות החופשה השנתית, הרמאים ממקדים מחדש את מאמציהם משירותים פיננסיים לתעשיות הנסיעות והפנאי, לפי TransUnion's ניתוח רבעוני אחרון.
קבוצות פשעי סייבר מרובות זוהו השנה שמוכרות אישורים גנובים ומידע אישי רגיש אחר שנגנב מאתרים הקשורים לנסיעות, עם שיטות של שחקנים זדוניים מתפתחות בשל הריכוז במידע המאפשר זיהוי אישי.
