Un alt actor de amenințare care vizează ospitalitatea, hotelurile și organizațiile de călătorie a reapărut în timpul sezonului aglomerat de călătorii de vară: un jucător mai mic, motivat financiar, numit TA558.
Potrivit noilor cercetări de la Proofpoint, grupul există din 2018, dar își intensifică atacurile în acest an, vizând vorbitorii de portugheză și spaniolă din America Latină, precum și ținte din Europa de Vest și America de Nord.
E-mailurile în spaniolă, portugheză și ocazional în limba engleză folosesc atracții cu tematică de rezervare cu teme relevante pentru afaceri (cum ar fi rezervările de camere de hotel) pentru a distribui atașamente sau adrese URL rău intenționate.
Cercetătorii Proofpoint au numărat 15 încărcături utile de malware diferite, cel mai frecvent troieni de acces la distanță (RAT), care pot permite recunoașterea, furtul de date și distribuirea programelor malware ulterioare.
Aceste familii de malware se suprapun ocazional cu domeniile de comandă și control (C2), cele mai frecvent observate sarcini utile incluzând Loda, Vjw0rm, AsyncRAT și Revenge RAT.
Raportul explică că în ultimii ani, TA558 și-a schimbat tactica, începând să folosească URL-uri și fișiere container pentru a distribui malware.
„TA558 a început să folosească adrese URL mai frecvent în 2022. TA558 a realizat 27 de campanii cu adrese URL în 2022, comparativ cu doar cinci campanii în total din 2018 până în 2021.” conform raportului. „De obicei, adresele URL au condus la fișiere container, cum ar fi ISO-uri sau fișiere zip care conțin executabile.”
Sherrod DeGrippo, vicepreședinte pentru cercetarea și detectarea amenințărilor la Proofpoint, explică că acest lucru este probabil ca răspuns la faptul că Microsoft a anunțat că va începe să blocheze macrocomenzile VBA descărcate de pe Internet în mod implicit.
„Acest actor este unic prin faptul că a folosit aceleași teme, limbaj și țintire, de când Proofpoint i-a identificat pentru prima dată în 2018”, a spus ea pentru Dark Reading.
Cu toate acestea, ea subliniază că adesea schimbă tactici, tehnici și proceduri (TTP) și au folosit diferite sarcini utile de malware pe parcursul activității lor.
„Acest lucru sugerează că actorul se schimbă în mod activ și răspunde la ceea ce funcționează cel mai bine sau este cel mai eficient în obținerea infecției inițiale, folosind tactici și programe malware utilizate pe scară largă de o varietate de actori amenințări”, spune ea.
Ea explică, ca mulți actori de amenințări din peisajul amenințărilor, TA558 a trecut de la macrocomenzile din atașamente la utilizarea altor tipuri de fișiere și URL-uri pentru a distribui malware.
„Este probabil că alți actori care vizează aceste industrii vor folosi tehnici similare pe care le-am descris anterior”, spune ea.
Actorii de amenințări au pivotat departe de documentele cu macro-activate atașat direct la mesaje pentru a furniza malware, folosind tot mai mult fișiere container, cum ar fi atașamente ISO și RAR și fișiere Windows Shortcut (LNK).
DeGrippo spune că creșterea activității cu TA558 în acest an nu indică o creștere a activității care vizează industriile de turism/ospitalitate în general.
„Cu toate acestea, organizațiile din aceste industrii ar trebui să fie conștiente de TTP-urile descrise în raport și să se asigure că angajații sunt instruiți să identifice și să raporteze încercările de phishing atunci când sunt identificate”, sfătuiește ea.
Industria călătoriilor în amenințarea actorului
Atacurile împotriva site-urilor web legate de călătorii a început să se ridice luni în urmă, pe măsură ce industria s-a recuperat de COVID-19, a indicat un raport din iulie de la PerimeterX, cu cererile competitive de scraping-bot crescând dramatic în Europa și Asia.
Pe măsură ce pandemia de coronavirus scade și consumatorii caută să reia planurile anuale de vacanță, fraudatorii își reorientează eforturile de la serviciile financiare către industriile de călătorie și agrement, potrivit TransUnion. ultima analiză trimestrială.
Mai multe grupuri de criminalitate cibernetică au fost depistate în acest an vânzând acreditări furate și alte informații personale sensibile furate de pe site-uri web legate de călătorii, cu metode de evoluție a actorilor rău intenționați datorită concentrării asupra informațiilor de identificare personală.
- blockchain
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Lectură întunecată
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- securitatea site-ului
