Pesquisadores revelaram novos detalhes de um grupo de ameaças persistentes avançadas (APT) que usou 15 famílias de malware nos últimos quatro anos para roubar dados de companhias de viagem e hospitalidade. Com motivado financeira, o grupo apelidado de TA558 tem como alvo principalmente organizações na América Latina e às vezes na América do Norte e na Europa Ocidental, utilizando ataques nos idiomas português, espanhol e inglês, de acordo com a Proofpoint.
Segundo a empresa de cibersegurança, o grupo usa principalmente e-mails de phishing como vetor de acesso, implantando iscas temáticas como reservas de quartos de hotel, com conteúdo relevante, para a organização da vítima. Os e-mails contêm links maliciosos ou anexos projetados para instalar malware secretamente, o que permitirá o reconhecimento, roubo de dados e o download de cargas adicionais, detalha o relatório.
Entre os vários tipos de malware usados pelo grupo estão o Loda RAT, Vjw0rm, Revenge RAT e AsyncRAT.
O TA558 usa sua própria infraestrutura na maioria das vezes, embora a Proofpoint tenha detectado o grupo utilizando sites de hotéis comprometidos para hospedar cargas maliciosas em uma tentativa de “voar sob o radar” das ferramentas de monitoramento de segurança.
Embora o grupo esteja operacional desde 2018, ele aumentou significativamente o ritmo da campanha neste ano, alerta a Proofpoint.
Veja isso
Grupo Marriott multado em 18 milhões de libras no Reino Unido
Ransomware, APTs e Log4j lideram ranking de ameaças
Como muitos grupos de ameaças, o TA558 se adaptou rapidamente à decisão da Microsoft nos últimos meses de desabilitar macros por padrão em produtos do Office, usando arquivos de contêiner como anexos RAR e ISO em vez de documentos do Office habilitados para macro.
“Além disso, o TA558 começou a usar URLs com mais frequência. Ele realizou 27 campanhas com URLs neste ano, na comparação com apenas cinco campanhas no total de 2018 a 2021. Normalmente, as URLs levavam a arquivos de contêiner, como ISOs ou arquivos zip contendo executáveis”, diz o relatório.
Segundo o documento, o malware usado pelo TA558 pode roubar dados, incluindo usuários de clientes de hotéis e dados de cartão de crédito, permitir movimento lateral e fornecer cargas úteis subsequentes. “Isso o torna uma séria ameaça para organizações nos setores de viagens, hotelaria e hospitalidade, onde as violações de dados podem causar danos financeiros e de reputação significativos.”
A rede de hotéis Marriott International foi multada em mais de 18 milhões de libras depois que centenas de milhões de registros de hóspedes foram roubados por operadores de ameaças após um ataque cibernético em 2014 à Starwood Hotels, uma empresa adquirida pelo grupo posteriormente.