Un grupo de ciberdelincuencia motivado financieramente se ha relacionado con una ola continua de ataques dirigidos a organizaciones hoteleras, hoteleras y de viajes en América Latina con el objetivo de instalar malware en sistemas comprometidos.
La firma de seguridad empresarial Proofpoint, que está rastreando al grupo bajo el nombre TA558 desde abril de 2018, lo llamó un «actor de amenazas de delitos pequeños».
«Desde 2018, este grupo ha utilizado tácticas, técnicas y procedimientos consistentes para intentar instalar una variedad de malware, incluidos Loda RAT, Vjw0rm y Revenge RAT», dijo el equipo de investigación de amenazas de la compañía. dijo en un nuevo informe.
El grupo ha estado operativo en 2022 a un ritmo más alto de lo habitual, con intrusiones dirigidas principalmente a hablantes de portugués y español en América Latina y, en menor medida, en Europa Occidental y América del Norte.
Las campañas de phishing montadas por el grupo implican el envío de mensajes de spam maliciosos con señuelos temáticos de reserva, como reservas de hotel que contienen documentos armados o URL en un intento por atraer a los usuarios involuntarios para que instalen troyanos capaces de reconocimiento, robo de datos y distribución de cargas útiles de seguimiento. .
Los ataques han evolucionado sutilmente a lo largo de los años: los detectados entre 2018 y 2021 aprovecharon correos electrónicos con documentos de Word que contenían macros de VBA o vulnerabilidades para fallas como CVE-2017-11882 y CVE-2017-8570 para descargar e instalar una mezcla de malware como AsyncRAT, Loda RAT, Revenge RAT y Vjw0rm.
En los últimos meses, sin embargo, se ha observado que TA558 se aleja de los archivos adjuntos de Microsoft Office cargados de macros en favor de las URL y los archivos ISO para lograr la infección inicial, un movimiento probablemente en respuesta a la decisión de Microsoft de bloquear las macros en los archivos descargados de la web de forma predeterminada. .
De las 51 campañas realizadas por el grupo en lo que va del año, se dice que 27 de ellas incorporaron URL que apuntan a archivos ISO y archivos ZIP, en comparación con solo cinco campañas en total desde 2018 hasta 2021.
Proofpoint señaló además que las intrusiones registradas en TA558 son parte de un más amplio establecer de malicioso actividades centrándose en las víctimas de la región latinoamericana. Pero en ausencia de cualquier actividad posterior al compromiso, se sospecha que TA558 es un actor ciberdelincuente motivado financieramente.
«El malware utilizado por TA558 puede robar datos, incluidos datos de usuarios de clientes de hoteles y datos de tarjetas de crédito, permitir el movimiento lateral y entregar cargas útiles de seguimiento», dijeron los investigadores. «La actividad realizada por este actor podría conducir al robo de datos corporativos y de clientes, así como a posibles pérdidas financieras».