En annen trusselaktør rettet mot gjestfrihets-, hotell- og reiseorganisasjoner har dukket opp igjen i løpet av den travle sommerreisesesongen: en mindre, økonomisk motivert aktør ved navn TA558.
I følge ny forskning fra Proofpoint har gruppen eksistert siden 2018, men trapper opp angrepene i år, rettet mot portugisisk og spansktalende lokalisert i Latin-Amerika, samt mål i Vest-Europa og Nord-Amerika.
Spansk, portugisisk og sporadiske engelskspråklige e-poster bruker lokker med reservasjonstema med forretningsrelevante temaer (som hotellrombestillinger) for å distribuere ondsinnede vedlegg eller nettadresser.
Proofpoint-forskere har telt 15 forskjellige skadevarenyttelaster, oftest fjerntilgangstrojanere (RAT), som kan muliggjøre rekognosering, datatyveri og distribusjon av oppfølgende skadelig programvare.
Disse skadevarefamiliene overlapper av og til med kommando-og-kontroll-domener (C2), med de hyppigst observerte nyttelastene inkludert Loda, Vjw0rm, AsyncRAT og Revenge RAT.
Rapporten forklarer at de siste årene har TA558 endret taktikk, og begynt å bruke URL-er og containerfiler for å distribuere skadelig programvare.
"TA558 begynte å bruke nettadresser oftere i 2022. TA558 gjennomførte 27 kampanjer med nettadresser i 2022, sammenlignet med bare fem kampanjer totalt fra 2018 til 2021," i følge rapporten. "Vanligvis førte URL-er til containerfiler som ISO-er eller zip-filer som inneholder kjørbare filer."
Sherrod DeGrippo, visepresident for trusselforskning og deteksjon i Proofpoint, forklarer at dette sannsynligvis er et svar på at Microsoft kunngjorde at de ville begynne å blokkere VBA-makroer lastet ned fra Internett som standard.
"Denne skuespilleren er unik ved at de har brukt de samme lokketemaene, språket og målrettingen siden Proofpoint først identifiserte dem i 2018," sier hun til Dark Reading.
Imidlertid påpeker hun at de ofte endrer taktikk, teknikker og prosedyrer (TTP-er) og har brukt forskjellige skadevarenyttelaster i løpet av aktiviteten.
"Dette antyder at aktøren aktivt endrer seg og reagerer på det som fungerer best eller er mest effektivt for å oppnå initial infeksjon, ved å bruke taktikker og skadelig programvare som er mye brukt av en rekke trusselaktører," sier hun.
Hun forklarer som mange trusselaktører i trussellandskapet, har TA558 pivotert bort fra makroer i vedlegg til å bruke andre filtyper og URL-er for å distribuere skadelig programvare.
"Det er sannsynlig at andre aktører som retter seg mot disse bransjene vil bruke lignende teknikker som vi beskrev tidligere," sier hun.
Trussel skuespillere har dreid bort fra makroaktiverte dokumenter vedlagt direkte til meldinger for å levere skadelig programvare, og bruker i økende grad containerfiler som ISO- og RAR-vedlegg og Windows Shortcut (LNK)-filer.
DeGrippo sier at økningen i aktivitet med TA558 i år ikke er en indikasjon på en økning i aktiviteten rettet mot reise- og gjestfrihetsbransjene generelt.
"Organisasjoner i disse bransjene bør imidlertid være klar over TTPene som er beskrevet i rapporten, og sikre at ansatte er opplært til å identifisere og rapportere phishing-forsøk når de identifiseres," råder hun.
Travel Industry in Threat Actor Crosshairs
Angrep mot reiserelaterte nettsteder begynte å stige måneder siden da industrien kom seg etter COVID-19, indikerte en julirapport fra PerimeterX, med konkurransedyktige forespørsler om skraping-bot som økte dramatisk i Europa og Asia.
Mens koronaviruspandemien ebber ut og forbrukere ser etter å gjenoppta årlige ferieplaner, fokuserer svindlere innsatsen fra finansielle tjenester til reise- og fritidsindustrien, ifølge TransUnions siste kvartalsanalyse.
Flere nettkriminalitetsgrupper har blitt oppdaget i år som selger stjålet legitimasjon og annen sensitiv personlig informasjon stjålet fra reiserelaterte nettsteder, med metoder for ondsinnede aktører som utvikler seg på grunn av konsentrasjonen om personlig identifiserbar informasjon.
