Summertime Blues: TA558 aumenta os ataques aos setores de hospitalidade e viagens

Outro agente de ameaças que visa organizações de hospitalidade, hotelaria e viagens ressurgiu durante a movimentada temporada de viagens de verão: um jogador menor e motivado financeiramente chamado TA558.

De acordo com uma nova pesquisa da Proofpoint, o grupo existe desde 2018, mas está intensificando seus ataques este ano, visando falantes de português e espanhol localizados na América Latina, além de alvos na Europa Ocidental e América do Norte.

E-mails em espanhol, português e ocasionalmente em inglês usam iscas temáticas de reserva com temas relevantes para os negócios (como reservas de quartos de hotel) para distribuir anexos ou URLs maliciosos.

Os pesquisadores da Proofpoint contaram 15 cargas úteis de malware diferentes, mais frequentemente Trojans de acesso remoto (RATs), que podem permitir reconhecimento, roubo de dados e distribuição de malware subsequente.

Essas famílias de malware ocasionalmente se sobrepõem a domínios de comando e controle (C2), com as cargas úteis observadas com mais frequência, incluindo Loda, Vjw0rm, AsyncRAT e Revenge RAT.

O relatório explica que, nos últimos anos, o TA558 mudou de tática, começando a usar URLs e arquivos de contêiner para distribuir malware.

“O TA558 começou a usar URLs com mais frequência em 2022. O TA558 realizou 27 campanhas com URLs em 2022, em comparação com apenas cinco campanhas no total de 2018 a 2021”, De acordo com o relatório. “Normalmente, os URLs levavam a arquivos de contêiner, como ISOs ou arquivos zip contendo executáveis.”

Sherrod DeGrippo, vice-presidente de pesquisa e detecção de ameaças da Proofpoint, explica que isso provavelmente ocorre em resposta ao anúncio da Microsoft de que começaria a bloquear macros VBA baixadas da Internet por padrão.

“Esse ator é único, pois eles usaram os mesmos temas de atração, linguagem e segmentação desde que a Proofpoint os identificou pela primeira vez em 2018”, disse ela ao Dark Reading.

No entanto, ela aponta que eles geralmente mudam de táticas, técnicas e procedimentos (TTPs) e usaram diferentes cargas de malware ao longo de suas atividades.

“Isso sugere que o ator está mudando ativamente e respondendo ao que funciona melhor ou é mais eficaz na infecção inicial, usando táticas e malware amplamente usados ​​por uma variedade de atores de ameaças”, diz ela.

Ela explica como muitos agentes de ameaças no cenário de ameaças, o TA558 se afastou das macros em anexos para usar outros tipos de arquivos e URLs para distribuir malware.

“É provável que outros atores direcionados a essas indústrias usem técnicas semelhantes que descrevemos anteriormente”, diz ela.

Atores de ameaças têm dinamizado longe de documentos habilitados para macro anexado diretamente às mensagens para entregar malware, usando cada vez mais arquivos de contêiner, como anexos ISO e RAR e arquivos de atalho do Windows (LNK).

DeGrippo diz que o aumento da atividade pelo TA558 este ano não é indicativo de um aumento da atividade voltada para as indústrias de viagens/hotelaria em geral.

“No entanto, as organizações desses setores devem estar cientes dos TTPs descritos no relatório e garantir que os funcionários sejam treinados para identificar e relatar tentativas de phishing quando identificadas”, aconselha ela.

Indústria de viagens na mira de atores de ameaças

Ataques contra sites relacionados a viagens começou a subir meses atrás, quando o setor se recuperou do COVID-19, indicou um relatório de julho da PerimeterX, com solicitações competitivas de robôs de raspagem aumentando drasticamente na Europa e na Ásia.

À medida que a pandemia de coronavírus diminui e os consumidores procuram retomar os planos anuais de férias, os fraudadores estão reorientando seus esforços dos serviços financeiros para as indústrias de viagens e lazer, de acordo com a TransUnion. última análise trimestral.

Vários grupos de crimes cibernéticos foram vistos este ano vendendo credenciais roubadas e outras informações pessoais confidenciais roubadas de sites relacionados a viagens, com o métodos de atores mal-intencionados evoluindo devido à concentração em informações de identificação pessoal.