Під час напруженого літнього сезону подорожей знову з’явилася ще одна загроза, спрямована на гостинність, готелі та туристичні організації: менший, фінансово мотивований гравець на ім’я TA558.
Згідно з новим дослідженням Proofpoint, група існує з 2018 року, але цього року посилює свої атаки, націлюючись на носіїв португальської та іспанської мов у Латинській Америці, а також на цілі в Західній Європі та Північній Америці.
Іспанські, португальські та іноді англомовні електронні листи використовують приманки на тему бронювання з бізнес-темами (наприклад, бронювання номерів у готелі) для розповсюдження шкідливих вкладень або URL-адрес.
Дослідники Proofpoint нарахували 15 різних шкідливих програм, найчастіше троянів віддаленого доступу (RAT), які можуть уможливлювати розвідку, крадіжку даних і розповсюдження подальших шкідливих програм.
Ці сімейства зловмисних програм іноді збігаються з доменами командування та управління (C2), з найбільш часто спостережуваними корисними навантаженнями, включаючи Loda, Vjw0rm, AsyncRAT і Revenge RAT.
У звіті пояснюється, що в останні роки TA558 змінив тактику, почавши використовувати URL-адреси та файли-контейнери для розповсюдження шкідливого програмного забезпечення.
«У 558 році TA2022 почав використовувати URL-адреси частіше. У 558 році TA27 провів 2022 кампаній із URL-адресами, у порівнянні з лише п’ятьма кампаніями з 2018 по 2021 рік», згідно з доповіддю. «Як правило, URL-адреси ведуть до файлів-контейнерів, таких як ISO або zip-файли, що містять виконувані файли».
Шеррод ДеГріппо, віце-президент із дослідження та виявлення загроз у Proofpoint, пояснює, що це, ймовірно, відповідь на те, що Microsoft оголосила, що почне блокувати макроси VBA, завантажені з Інтернету, за замовчуванням.
«Цей актор унікальний тим, що вони використовували однакові теми спокуси, мову та націлювання з тих пір, як Proofpoint вперше ідентифікував їх у 2018 році», — розповідає вона Dark Reading.
Однак вона зазначає, що вони часто змінюють тактику, техніку та процедури (TTP) і використовують різні шкідливі програми протягом своєї діяльності.
«Це свідчить про те, що актор активно змінюється та реагує на те, що найкраще працює або є найбільш ефективним для досягнення початкового зараження, використовуючи тактику та зловмисне програмне забезпечення, які широко використовуються різними суб’єктами загрози», — каже вона.
Вона пояснює, що, як і багато інших учасників загроз, TA558 відмовився від макросів у вкладеннях на використання інших типів файлів і URL-адрес для розповсюдження шкідливого програмного забезпечення.
«Цілком імовірно, що інші учасники, націлені на ці галузі, використовуватимуть подібні методи, які ми описали раніше», — каже вона.
Загроза є у акторів відірвано від документів із підтримкою макросів додається безпосередньо до повідомлень для доставки зловмисного програмного забезпечення, дедалі частіше використовуючи файли-контейнери, такі як вкладення ISO та RAR і файли Windows Shortcut (LNK).
ДеГріппо каже, що збільшення активності TA558 цього року не свідчить про зростання активності, орієнтованої на індустрію подорожей/гостинності в цілому.
«Однак організації в цих галузях повинні бути в курсі TTP, описаних у звіті, і переконатися, що співробітники навчені виявляти спроби фішингу та повідомляти про них у разі виявлення», — радить вона.
Індустрія подорожей у Threat Actor Crosshairs
Атаки на веб-сайти, пов’язані з подорожами почав підніматися Кілька місяців тому, коли галузь оговталася від COVID-19, у липневому звіті від PerimeterX зазначено, що запити конкурентних скрапінг-ботів різко зросли в Європі та Азії.
Оскільки пандемія коронавірусу йде на спад і споживачі прагнуть відновити плани щорічної відпустки, шахраї переорієнтовують свої зусилля з фінансових послуг на індустрію подорожей і відпочинку, повідомляє TransUnion. останній квартальний аналіз.
Цього року було помічено кілька груп кіберзлочинців, які продавали викрадені облікові дані та іншу конфіденційну особисту інформацію, викрадену з веб-сайтів, пов’язаних із подорожами, з методи розвитку зловмисників через концентрацію на персональній інформації.