Een andere dreigingsactor die zich richt op horeca-, hotel- en reisorganisaties is opnieuw opgedoken tijdens het drukke zomerreisseizoen: een kleinere, financieel gemotiveerde speler genaamd TA558.
Volgens nieuw onderzoek van Proofpoint bestaat de groep al sinds 2018, maar voert ze dit jaar haar aanvallen op, gericht op Portugees- en Spaanstaligen in Latijns-Amerika, evenals op doelen in West-Europa en Noord-Amerika.
Spaanse, Portugese en incidentele Engelstalige e-mails gebruiken verlokkingen met reserveringsthema's met bedrijfsrelevante thema's (zoals hotelkamerboekingen) om kwaadaardige bijlagen of URL's te verspreiden.
Proofpoint-onderzoekers hebben 15 verschillende malware-payloads geteld, meestal Remote Access Trojans (RAT's), die verkenning, gegevensdiefstal en verspreiding van vervolgmalware mogelijk maken.
Deze malwarefamilies overlappen af โโen toe met command-and-control (C2)-domeinen, met de meest waargenomen payloads, waaronder Loda, Vjw0rm, AsyncRAT en Revenge RAT.
Het rapport legt uit dat TA558 de afgelopen jaren van tactiek is veranderd en URL's en containerbestanden is gaan gebruiken om malware te verspreiden.
"TA558 begon in 2022 vaker URL's te gebruiken. TA558 voerde in 27 2022 campagnes met URL's, vergeleken met slechts vijf campagnes in totaal van 2018 tot 2021," volgens het rapport. "Normaal gesproken leidden URL's naar containerbestanden zoals ISO's of zip-bestanden met uitvoerbare bestanden."
Sherrod DeGrippo, vice-president van dreigingsonderzoek en -detectie bij Proofpoint, legt uit dat dit waarschijnlijk is als reactie op de aankondiging van Microsoft dat het standaard VBA-macro's die van internet zijn gedownload, zou gaan blokkeren.
"Deze acteur is uniek omdat ze dezelfde thema's, taal en targeting hebben gebruikt sinds Proofpoint ze voor het eerst identificeerde in 2018", vertelt ze aan Dark Reading.
Ze wijst er echter op dat ze vaak van tactiek, technieken en procedures (TTP's) veranderen en tijdens hun activiteit verschillende malware-payloads hebben gebruikt.
"Dit suggereert dat de actor actief aan het veranderen is en reageert op wat het beste werkt of het meest effectief is bij het bereiken van de eerste infectie, met behulp van tactieken en malware die veel worden gebruikt door een verscheidenheid aan bedreigingsactoren", zegt ze.
Ze legt uit dat, net als veel andere dreigingsactoren in het dreigingslandschap, TA558 is overgestapt van macro's in bijlagen naar het gebruik van andere bestandstypen en URL's om malware te verspreiden.
"Het is waarschijnlijk dat andere actoren die zich op deze industrieรซn richten, soortgelijke technieken zullen gebruiken die we eerder hebben beschreven", zegt ze.
Bedreigingsacteurs hebben weggedraaid van documenten met macro's rechtstreeks aan berichten gekoppeld om malware af te leveren, waarbij in toenemende mate gebruik wordt gemaakt van containerbestanden zoals ISO- en RAR-bijlagen en Windows Shortcut-bestanden (LNK).
DeGrippo zegt dat de toename van de activiteit door TA558 dit jaar niet indicatief is voor een toename van de activiteit gericht op de reis- en horecasector in het algemeen.
"Organisaties in deze sectoren moeten echter op de hoogte zijn van de TTP's die in het rapport worden beschreven en ervoor zorgen dat werknemers worden opgeleid om phishing-pogingen te identificeren en te melden wanneer ze worden geรฏdentificeerd", adviseert ze.
Reisindustrie in gevaar Actor Crosshairs
Aanvallen op reisgerelateerde websites begon te stijgen maanden geleden, toen de industrie herstelde van COVID-19, zo bleek uit een rapport van PerimeterX uit juli, waarbij concurrerende aanvragen voor scraping-bots dramatisch toenamen in Europa en Aziรซ.
Terwijl de pandemie van het coronavirus wegebt en consumenten proberen hun jaarlijkse vakantieplannen te hervatten, verleggen fraudeurs hun inspanningen van financiรซle diensten naar de reis- en vrijetijdsindustrie, volgens TransUnion's laatste kwartaalanalyse.
Er zijn dit jaar meerdere cybercriminaliteitsgroepen gesignaleerd die gestolen inloggegevens en andere gevoelige persoonlijke informatie die van reisgerelateerde websites zijn gestolen, verkochten. methoden van kwaadwillende actoren evolueren vanwege de concentratie op persoonlijk identificeerbare informatie.
