En annan hotaktör som riktar sig mot hotell-, hotell- och reseorganisationer har återuppstått under den hektiska sommarens resesäsong: en mindre, ekonomiskt motiverad spelare vid namn TA558.
Enligt ny forskning från Proofpoint har gruppen funnits sedan 2018 men intensifierar sina attacker i år och riktar sig mot portugisiska och spansktalande i Latinamerika, samt mål i västra Europa och Nordamerika.
Spanska, portugisiska och enstaka engelskspråkiga e-postmeddelanden använder beten med reservationstema med affärsrelevanta teman (som bokningar av hotellrum) för att distribuera skadliga bilagor eller webbadresser.
Proofpoint-forskare har räknat 15 olika nyttolaster av skadlig programvara, oftast fjärråtkomsttrojaner (RAT), som kan möjliggöra spaning, datastöld och distribution av efterföljande skadlig programvara.
Dessa skadliga programfamiljer överlappar ibland med kommando-och-kontroll-domäner (C2), med de mest frekvent observerade nyttolasterna inklusive Loda, Vjw0rm, AsyncRAT och Revenge RAT.
Rapporten förklarar att TA558 under de senaste åren har bytt taktik och börjat använda webbadresser och behållarfiler för att distribuera skadlig programvara.
"TA558 började använda webbadresser oftare 2022. TA558 genomförde 27 kampanjer med webbadresser 2022, jämfört med bara fem kampanjer totalt från 2018 till 2021," enligt rapporten. "Vanligtvis ledde URL:er till containerfiler som ISO eller zip-filer som innehåller körbara filer."
Sherrod DeGrippo, vice vd för hotforskning och upptäckt på Proofpoint, förklarar att detta sannolikt är ett svar på att Microsoft tillkännagav att det skulle börja blockera VBA-makron som laddas ner från Internet som standard.
"Den här skådespelaren är unik genom att de har använt samma lockbeteman, språk och inriktning sedan Proofpoint först identifierade dem 2018", säger hon till Dark Reading.
Men hon påpekar att de ofta ändrar taktik, tekniker och procedurer (TTP) och har använt olika nyttolaster för skadlig programvara under sin aktivitet.
"Detta tyder på att skådespelaren aktivt förändras och reagerar på det som fungerar bäst eller är mest effektivt för att uppnå initial infektion, med hjälp av taktik och skadlig programvara som ofta används av en mängd olika hotaktörer", säger hon.
Hon förklarar som många hotaktörer i hotlandskapet, att TA558 har svängt bort från makron i bilagor till att använda andra filtyper och webbadresser för att distribuera skadlig programvara.
"Det är troligt att andra aktörer som riktar sig till dessa industrier kommer att använda liknande tekniker som vi beskrev tidigare", säger hon.
Ett hot som skådespelare har pivoterad bort från makroaktiverade dokument bifogas direkt till meddelanden för att leverera skadlig programvara och använder i allt större utsträckning containerfiler som ISO- och RAR-bilagor och Windows Genvägsfiler (LNK).
DeGrippo säger att ökningen av aktiviteten med TA558 i år inte är en indikation på en ökning av aktiviteten riktad mot rese- och gästfrihetsbranschen i allmänhet.
"Organisationer i dessa branscher bör dock vara medvetna om de TTP som beskrivs i rapporten och se till att anställda är utbildade i att identifiera och rapportera nätfiskeförsök när de identifieras", råder hon.
Resebranschen i Threat Actor Crosshairs
Attacker mot reserelaterade webbplatser började stiga månader sedan när industrin återhämtade sig från covid-19, indikerade en julirapport från PerimeterX, med konkurrenskraftiga förfrågningar om scraping-bot som ökade dramatiskt i Europa och Asien.
När coronavirus-pandemin ebbar ut och konsumenter ser till att återuppta årliga semesterplaner, fokuserar bedragare om sina ansträngningar från finansiella tjänster till rese- och fritidsindustrin, enligt TransUnions senaste kvartalsanalys.
Flera cyberbrottsgrupper har upptäckts i år som säljer stulna referenser och annan känslig personlig information som stjäls från reserelaterade webbplatser, med metoder för illvilliga aktörer som utvecklas på grund av koncentrationen på personligt identifierbar information.
