Nel 2018, Proofpoint ha individuato un gruppo di cybercrime finanziario, TA558, che prende di mira i settori dell’hospitality e viaggi situati soprattutto in America Latina, ma anche in Nord America ed Europa occidentale. L’attore, di piccole dimensioni ma fortemente motivato, invia e-mail pericolose scritte in portoghese, spagnolo e talvolta in inglese, che utilizzano esche a tema prenotazione con temi rilevanti per il business, come la conferma di camere d’albergo. Le e-mail possono contenere allegati o URL dannosi che mirano a distribuire uno di almeno 15 diversi payload malware, in genere trojan ad accesso remoto (RAT), che possono consentire la ricognizione, il furto di dati e la distribuzione di payload successivi, tra cui Loda RAT, Vjw0rm e Revenge RAT.
Proofpoint ha rintracciato questo attore sulla base di una serie di modelli e-mail, tecniche di consegna e installazione, infrastrutture di comando e controllo (C2), domini di payload e altre infrastrutture.
Nel 2022, Proofpoint ha osservato un aumento dell’attività rispetto agli anni precedenti e un cambio di tattica, con l’utilizzo di URL e file container per distribuire malware, probabilmente in risposta all’annuncio di Microsoft di voler iniziare a bloccare le macro VBA scaricate da Internet come impostazione predefinita.
“TA558 è un gruppo criminale che prende di mira le organizzazioni del settore alberghiero e turistico con esche uniche che fanno riferimento ad argomenti specifici come le prenotazioni e i viaggi,” spiega Sherrod DeGrippo, Senior Vice President, Threat Research and Detection di Proofpoint. “Anche se non abbiamo visibilità sugli obiettivi finali del gruppo, è possibile che le compromissioni possano avere un impatto sia sulle organizzazioni del settore, che dovrebbero essere consapevoli delle attività di questo attore e prendere precauzioni per proteggersi, che sui clienti che le hanno utilizzate per le vacanze.”
Il malware utilizzato da TA558 è in grado di rubare dati, compresi quelli relativi a utenti e carte di credito dei clienti dell’hotel, consentire movimenti laterali e fornire payload successivi.
Le segnalazioni open source forniscono indicazioni su un possibile obiettivo dell’attore della minaccia. A luglio, la CNN portoghese ha riferito che il sito web di un hotel è stato compromesso e il cybercriminale è stato in grado di modificare il sito web e indirizzare i clienti a una pagina di prenotazione falsa. Ha poi sottratto fondi ai potenziali clienti spacciandosi per l’hotel compromesso. Anche se Proofpoint non associa necessariamente l’attività identificata a TA558, essa fornisce un esempio di possibili attività successive e degli impatti sia per le organizzazioni bersaglio che per i loro clienti.
TA558 presenta alcune sovrapposizioni con le attività segnalate da Palo Alto Networks nel 2018, Cisco Talos nel 2020 e nel 2021, Uptycs nel 2020 e HP nel 2022. Questo è il primo rapporto pubblico e completo su TA558, che descrive in dettaglio le attività condotte nell’arco di quattro anni e ancora in corso. Le informazioni utilizzate per la creazione di questo report si basano sulle campagne e-mail, contestualizzate manualmente, e sulle descrizioni arricchite dagli analisti delle minacce condannate automaticamente.