Še ena grožnja, ki cilja na gostinstvo, hotele in potovalne organizacije, se je ponovno pojavila med naporno poletno potovalno sezono: manjši, finančno motiviran igralec z imenom TA558.
Glede na nove raziskave Proofpointa skupina obstaja od leta 2018, vendar letos krepi svoje napade in cilja na govorce portugalščine in španščine v Latinski Ameriki ter tarče v zahodni Evropi in Severni Ameriki.
Španska, portugalska in občasna e-poštna sporočila v angleškem jeziku uporabljajo vabe na temo rezervacij s poslovno pomembnimi temami (kot so rezervacije hotelskih sob) za distribucijo zlonamernih prilog ali URL-jev.
Raziskovalci Proofpointa so prešteli 15 različnih zlonamernih programov, najpogosteje trojance z oddaljenim dostopom (RAT), ki lahko omogočijo izvidovanje, krajo podatkov in distribucijo nadaljnje zlonamerne programske opreme.
Te družine zlonamerne programske opreme se občasno prekrivajo z domenami ukazov in nadzora (C2), pri čemer so najpogosteje opažene koristne obremenitve, vključno z Loda, Vjw0rm, AsyncRAT in Revenge RAT.
Poročilo pojasnjuje, da je v zadnjih letih TA558 spremenil taktiko in začel uporabljati URL-je in vsebniške datoteke za distribucijo zlonamerne programske opreme.
"TA558 je leta 2022 začel pogosteje uporabljati URL-je. TA558 je leta 27 izvedel 2022 kampanj z URL-ji v primerjavi s skupno petimi kampanjami od leta 2018 do 2021," glede na poročilo. "URL-ji običajno vodijo do vsebniških datotek, kot so ISO ali datoteke zip, ki vsebujejo izvedljive datoteke."
Sherrod DeGrippo, podpredsednik raziskave in odkrivanja groženj pri Proofpointu, pojasnjuje, da je to verjetno odgovor na Microsoftovo napoved, da bo začel privzeto blokirati makre VBA, prenesene z interneta.
»Ta igralec je edinstven v tem, da uporabljata iste teme vab, jezik in ciljanje, odkar jih je Proofpoint prvič identificiral leta 2018,« je povedala za Dark Reading.
Vendar pa poudarja, da pogosto spreminjajo taktike, tehnike in postopke (TTP) in so med svojo dejavnostjo uporabljali različne obremenitve zlonamerne programske opreme.
"To nakazuje, da se akter aktivno spreminja in se odziva na tisto, kar najbolje deluje ali je najučinkovitejše pri doseganju začetne okužbe, pri čemer uporablja taktike in zlonamerno programsko opremo, ki jih pogosto uporabljajo različni akterji groženj," pravi.
Pojasnjuje, da se je tako kot mnogi akterji groženj v pokrajini groženj tudi TA558 preusmeril od makrov v prilogah k uporabi drugih vrst datotek in URL-jev za distribucijo zlonamerne programske opreme.
"Verjetno bodo drugi akterji, ki ciljajo na te industrije, uporabili podobne tehnike, kot smo jih opisali prej," pravi.
Grožnja, ki jo imajo igralci obrnjeno stran od dokumentov, ki podpirajo makro pripete neposredno k sporočilom za dostavo zlonamerne programske opreme, pri čemer vse bolj uporabljajo vsebniške datoteke, kot so priloge ISO in RAR ter datoteke Windows Shortcut (LNK).
DeGrippo pravi, da povečanje dejavnosti za TA558 letos ne kaže na povečanje dejavnosti, ki je usmerjena v potovalne/gostinske industrije na splošno.
»Vendar bi se morale organizacije v teh panogah zavedati TTP-jev, opisanih v poročilu, in zagotoviti, da so zaposleni usposobljeni za prepoznavanje in poročanje poskusov lažnega predstavljanja, ko so prepoznani,« svetuje.
Potovalna industrija v križišču groženj
Napadi na spletna mesta, povezana s potovanji začela dvigovati pred meseci, ko si je industrija opomogla od COVID-19, je julijsko poročilo podjetja PerimeterX pokazalo, da so se zahteve konkurenčnih robotov za strganje dramatično povečale v Evropi in Aziji.
Medtem ko se pandemija koronavirusa umirja in si potrošniki želijo nadaljevati načrte za letne počitnice, goljufi preusmerjajo svoja prizadevanja s finančnih storitev na industrijo potovanj in prostega časa, poroča TransUnion's. zadnja četrtletna analiza.
Letos so opazili več skupin kibernetskega kriminala, ki so prodajale ukradene poverilnice in druge občutljive osebne podatke, ukradene s spletnih mest, povezanih s potovanji, pri čemer razvijajo se metode zlonamernih akterjev zaradi koncentracije na podatke, ki omogočajo osebno identifikacijo.
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
