Un groupe de cybercriminalité à motivation financière a été lié à une vague continue d’attaques visant des organisations hôtelières, hôtelières et de voyage en Amérique latine dans le but d’installer des logiciels malveillants sur des systèmes compromis.
La société de sécurité d’entreprise Proofpoint, qui suit le groupe sous le nom de TA558 depuis avril 2018, l’a qualifié de « petit acteur de la menace criminelle ».
« Depuis 2018, ce groupe a utilisé des tactiques, des techniques et des procédures cohérentes pour tenter d’installer une variété de logiciels malveillants, notamment Loda RAT, Vjw0rm et Revenge RAT », a déclaré l’équipe de recherche sur les menaces de l’entreprise. a dit dans un nouveau rapport.
Le groupe a été opérationnel en 2022 à un rythme plus élevé que d’habitude, avec des intrusions principalement orientées vers les lusophones et les hispanophones en Amérique latine, et dans une moindre mesure en Europe occidentale et en Amérique du Nord.
Les campagnes de phishing montées par le groupe impliquent l’envoi de messages de spam malveillants avec des leurres sur le thème des réservations, tels que des réservations d’hôtel contenant des documents ou des URL militarisés, dans le but d’inciter les utilisateurs involontaires à installer des chevaux de Troie capables de reconnaissance, de vol de données et de distribution de charges utiles de suivi. .
Les attaques ont subtilement évolué au fil des ans : celles repérées entre 2018 et 2021 ont exploité des e-mails avec des documents Word contenant des macros VBA ou des exploits pour des failles telles que CVE-2017-11882 et CVE-2017-8570 pour télécharger et installer un mélange de logiciels malveillants tels que AsyncRAT, Loda RAT, Revenge RAT et Vjw0rm.
Au cours des derniers mois, cependant, on a observé que TA558 s’éloignait des pièces jointes Microsoft Office chargées de macros au profit des URL et des fichiers ISO pour réaliser l’infection initiale, une décision probablement en réponse à la décision de Microsoft de bloquer les macros dans les fichiers téléchargés sur le Web par défaut. .
Sur les 51 campagnes menées par le groupe jusqu’à présent cette année, 27 d’entre elles auraient incorporé des URL pointant vers des fichiers ISO et des archives ZIP, contre seulement cinq campagnes au total de 2018 à 2021.
Proofpoint a en outre noté que les intrusions relatées sous TA558 font partie d’un plus large Positionner de mal intentionné Activités se concentrant sur les victimes dans la région de l’Amérique latine. Mais en l’absence de toute activité post-compromis, on soupçonne que TA558 est un acteur cybercriminel à motivation financière.
« Le logiciel malveillant utilisé par TA558 peut voler des données, y compris les données des utilisateurs des hôtels et des cartes de crédit, permettre des mouvements latéraux et fournir des charges utiles de suivi », ont déclaré les chercheurs. « L’activité menée par cet acteur pourrait entraîner le vol de données à la fois de l’entreprise et des clients, ainsi que des pertes financières potentielles. »