Ein weiterer Bedrohungsakteur, der es auf Gastgewerbe-, Hotel- und Reiseunternehmen abgesehen hat, ist während der geschäftigen Sommerreisesaison wieder aufgetaucht: ein kleinerer, finanziell motivierter Akteur namens TA558.
Laut neuen Untersuchungen von Proofpoint gibt es die Gruppe seit 2018, verstärkt aber in diesem Jahr ihre Angriffe und richtet sich gegen Portugiesisch- und Spanischsprachige in Lateinamerika sowie gegen Ziele in Westeuropa und Nordamerika.
Spanische, portugiesische und gelegentlich englischsprachige E-Mails verwenden Köder mit Reservierungsmotiven und geschäftsrelevanten Themen (z. B. Hotelzimmerbuchungen), um schädliche Anhänge oder URLs zu verbreiten.
Proofpoint-Forscher haben 15 verschiedene Malware-Payloads gezählt, am häufigsten Remote-Access-Trojaner (RATs), die Aufklärung, Datendiebstahl und Verbreitung von Folge-Malware ermöglichen können.
Diese Malware-Familien überschneiden sich gelegentlich mit Command-and-Control-Domänen (C2), wobei die am häufigsten beobachteten Payloads Loda, Vjw0rm, AsyncRAT und Revenge RAT umfassen.
Der Bericht erklärt, dass TA558 in den letzten Jahren seine Taktik geändert hat und begonnen hat, URLs und Containerdateien zur Verbreitung von Malware zu verwenden.
„TA558 begann 2022 damit, URLs häufiger zu verwenden. TA558 führte 27 2022 Kampagnen mit URLs durch, verglichen mit insgesamt nur fünf Kampagnen von 2018 bis 2021.“ laut der Meldung. „Normalerweise führten URLs zu Containerdateien wie ISOs oder ZIP-Dateien mit ausführbaren Dateien.“
Sherrod DeGrippo, Vizepräsident für Bedrohungsforschung und -erkennung bei Proofpoint, erklärt, dies sei wahrscheinlich eine Reaktion auf die Ankündigung von Microsoft, aus dem Internet heruntergeladene VBA-Makros standardmäßig zu blockieren.
„Dieser Schauspieler ist insofern einzigartig, als er die gleichen Köderthemen, die gleiche Sprache und das gleiche Targeting verwendet hat, seit Proofpoint sie 2018 zum ersten Mal identifiziert hat“, sagt sie zu Dark Reading.
Sie weist jedoch darauf hin, dass sie häufig Taktiken, Techniken und Verfahren (TTPs) ändern und im Laufe ihrer Aktivitäten unterschiedliche Malware-Payloads verwendet haben.
„Dies deutet darauf hin, dass der Akteur sich aktiv ändert und darauf reagiert, was am besten funktioniert oder am effektivsten ist, um eine Erstinfektion zu erreichen, indem er Taktiken und Malware verwendet, die von einer Vielzahl von Bedrohungsakteuren weit verbreitet sind“, sagt sie.
Sie erklärt, dass sich TA558 wie viele Bedrohungsakteure in der Bedrohungslandschaft von Makros in Anhängen wegbewegt hat, um andere Dateitypen und URLs zur Verbreitung von Malware zu verwenden.
„Es ist wahrscheinlich, dass andere Akteure, die auf diese Branchen abzielen, ähnliche Techniken verwenden, die wir zuvor beschrieben haben“, sagt sie.
Bedrohungsakteure haben weg von makrofähigen Dokumenten geschwenkt direkt an Nachrichten angehängt, um Malware zu übermitteln, wobei zunehmend Containerdateien wie ISO- und RAR-Anhänge und Windows-Verknüpfungsdateien (LNK) verwendet werden.
DeGrippo sagt, dass die Zunahme der Aktivitäten von TA558 in diesem Jahr nicht auf eine Zunahme der Aktivitäten hindeutet, die auf die Reise-/Gastgewerbebranche im Allgemeinen abzielen.
„Organisationen in diesen Branchen sollten sich jedoch der im Bericht beschriebenen TTPs bewusst sein und sicherstellen, dass die Mitarbeiter darin geschult sind, Phishing-Versuche zu identifizieren und zu melden, wenn sie identifiziert werden“, rät sie.
Reisebranche im Fadenkreuz der Bedrohungsakteure
Angriffe auf reisebezogene Websites begann zu steigen Vor Monaten, als sich die Branche von COVID-19 erholte, zeigte ein Juli-Bericht von PerimeterX, dass die Anfragen nach konkurrierenden Scraping-Bots in Europa und Asien dramatisch zunahmen.
Während die Coronavirus-Pandemie abebbt und die Verbraucher versuchen, ihre jährlichen Urlaubspläne wieder aufzunehmen, konzentrieren Betrüger laut TransUnion ihre Bemühungen von Finanzdienstleistungen auf die Reise- und Freizeitbranche letzte Quartalsanalyse.
In diesem Jahr wurden mehrere Cyberkriminalitätsgruppen entdeckt, die gestohlene Zugangsdaten und andere vertrauliche persönliche Informationen verkauften, die von reisebezogenen Websites gestohlen wurden Methoden von böswilligen Akteuren entwickeln aufgrund der Konzentration auf personenbezogene Daten.
