Un grupo de amenazas de larga data identificado como TA558 ha intensificado sus esfuerzos para apuntar a las industrias de viajes y hotelería. Después de una pausa en la actividad, que se cree está relacionada con las restricciones de viaje relacionadas con COVID, el grupo de amenazas ha intensificado las campañas para explotar un aumento en los viajes y las reservas de aerolíneas y hoteles relacionadas.

Las advertencias provienen de investigadores de seguridad que dicen que los ciberdelincuentes TA558 han renovado sus campañas de 2018 con correos electrónicos de reserva falsos que contienen enlaces, que si se hace clic, entregan una carga útil de malware malicioso que contiene un popurrí de variantes de malware.

Lo que hace que esta campaña más reciente sea única, según un informe de Punto de prueba, es el uso de archivos adjuntos RAR e ISO vinculados a los mensajes. ISO y RAR son archivos comprimidos individuales que, si se ejecutan, descomprimen los datos del archivo y la carpeta que contienen.

"TA558 comenzó a usar URL con más frecuencia en 2022. TA558 realizó 27 campañas con URL en 2022, en comparación con solo cinco campañas en total entre 2018 y 2021. Por lo general, las URL conducían a archivos contenedores como ISO o archivos zip [RAR] que contenían ejecutables". Escribió Proofpoint.

Para infectarse, la víctima objetivo tendría que ser engañada para que descomprimiera el archivo. “El enlace de la reserva... condujo a un archivo ISO y un archivo por lotes incrustado. La ejecución del archivo BAT condujo a un script auxiliar de PowerShell que descargó una carga útil de seguimiento, AsyncRAT”, escribieron los investigadores.

Actualice su itinerario al estado de infección de malware

Campañas anteriores de TA558, rastreadas por Palo Alto Networks (en 2018), Cisco Talos (en 2020 y 2021) y Uptycs (en 2020), han aprovechado archivos adjuntos maliciosos de documentos de Microsoft Word (CVE-2017-11882) o URL de plantillas remotas para descargar e instalar malware, según Proofpoint.

El cambio a archivos ISO y RAR “probablemente se deba a los anuncios de Microsoft a finales de 2021 y principios de 2022 sobre la desactivación de macros [VBA y XL4] de forma predeterminada en los productos de Office”, dijeron los investigadores.

“En 2022, el ritmo de la campaña aumentó significativamente. Las campañas entregaron una combinación de malware como Loda, Revenge RAT y AsyncRAT. Este actor usó una variedad de mecanismos de entrega, incluidas URL, archivos adjuntos RAR, archivos adjuntos ISO y documentos de Office”, escribieron los investigadores.

Las cargas de malware de campañas recientes suelen incluir troyanos de acceso remoto (RAT), que pueden permitir el reconocimiento, el robo de datos y la distribución de cargas útiles de seguimiento, dijo Proofpoint.

Sin embargo, a través de todas sus evoluciones, el objetivo del grupo siempre ha sido el mismo. Los analistas concluyeron "con un nivel de confianza medio a alto" que TA558 tiene una motivación financiera y utiliza datos robados para escalar y robar dinero. “Sus posibles compromisos podrían afectar tanto a las organizaciones en la industria de viajes como a los clientes potenciales que los han usado para vacaciones”, escribió Sherrod DeGrippo, vicepresidente de organizaciones de investigación y detección de amenazas en Proofpoint, en un comunicado. “Las organizaciones en estas y otras industrias relacionadas deben estar al tanto de las actividades de este actor y tomar precauciones para protegerse”.

Historia de TA558

Desde al menos 2018, TA558 se ha dirigido principalmente a organizaciones en los campos de viajes, hospitalidad e industrias relacionadas. Esas organizaciones tienden a estar ubicadas en América Latina y, a veces, en América del Norte o Europa Occidental.

A lo largo de su historia, TA558 ha utilizado correos electrónicos de ingeniería social para atraer a las víctimas para que hagan clic en enlaces o documentos maliciosos. Esos correos electrónicos, escritos con mayor frecuencia en portugués o español, generalmente pretendían hacer referencia a reservas de hotel. La línea de asunto, o el nombre del documento adjunto, a menudo era simplemente "reserva".

En sus primeras hazañas, el grupo aprovecharía las vulnerabilidades en el Editor de ecuaciones de Microsoft Word, por ejemplo, CVE-2017-11882, un error de ejecución remota de código. El objetivo era descargar una RAT, más comúnmente Loda or Venganza rata – a la máquina de destino.

En 2019, el grupo amplió su arsenal, con archivos adjuntos maliciosos de Powerpoint con macros e inyecciones de plantillas en documentos de Office. También se expandieron a nuevos datos demográficos, utilizando señuelos de phishing en inglés por primera vez.

Principios de 2020 fue el período más prolífico de TA558, ya que produjeron 25 campañas maliciosas solo en enero. Utilizaron predominantemente documentos de Office cargados de macros o atacaron vulnerabilidades conocidas de Office durante este período.

“Las organizaciones, especialmente aquellas que operan en sectores específicos en América Latina, América del Norte y Europa occidental, deben conocer las tácticas, técnicas y procedimientos de este actor”, aconsejan los investigadores.