Um grupo conhecido como TA558, que há muito tempo representa uma ameaça, está aumentando seus esforços para atacar os setores de viagens e hospitalidade. Após um período de pouca atividade, possivelmente devido às restrições de viagens relacionadas ao COVID, o grupo de ameaças está intensificando suas campanhas para explorar o aumento nas viagens e reservas em companhias aéreas e hotéis.
Pesquisadores de segurança alertam que os criminosos cibernéticos do grupo TA558 estão utilizando novamente em 2018 falsos e-mails de reserva, contendo links que, ao serem clicados, instalam malware malicioso com diversas variantes.
O relatório da Proofpoint destaca a singularidade da campanha mais recente devido ao emprego de arquivos RAR e ISO anexados a emails, que são formatos de arquivo compactado capazes de descomprimir dados ao serem executados.
De acordo com Proofpoint, em 2022 o TA558 passou a utilizar URLs com maior frequência, realizando 27 campanhas que envolviam URLs neste ano, em contraste com apenas cinco campanhas ao longo do período de 2018 a 2021. Geralmente, essas URLs direcionavam para arquivos de contêineres, como ISOs ou arquivos zip [RAR], que continham executáveis.
Para que haja infecção, a pessoa alvo precisa ser enganada a fim de descompactar o arquivo de arquivos. Segundo os especialistas, ao clicar no link fornecido, o usuário é direcionado para um arquivo ISO e um arquivo de lote embutido. Ao executar o arquivo BAT, é acionado um script auxiliar do PowerShell que faz o download de uma carga maliciosa chamada AsyncRAT.
Aprimore seu trajeto para verificar o status de infecção por malware.
De acordo com a Proofpoint, campanhas anteriores do TA558, detectadas por empresas como Palo Alto Networks em 2018, Cisco Talos em 2020 e 2021, e Uptycs em 2020, empregaram anexos maliciosos do Microsoft Word (CVE-2017-11882) ou links de modelo remoto para realizar o download e a instalação de malware.
Os pesquisadores sugerem que a transição para arquivos ISO e RAR pode estar relacionada aos comunicados da Microsoft no final de 2021 e início de 2022, que mencionaram a desativação por padrão das macros VBA e XL4 nos produtos do Office.
No ano de 2022, houve um aumento considerável no tempo das campanhas, que incluíram diferentes tipos de malware, como Loda, Revenge RAT e AsyncRAT. Esse indivíduo empregou diversas formas de distribuição, como URLs, arquivos RAR, arquivos ISO e documentos do Office, de acordo com especialistas.
De acordo com a Proofpoint, as cargas de malware em campanhas recentes geralmente apresentam tróias de acesso remoto (RATs), que possibilitam realizar reconhecimento, apropriação de informações e disseminação de novas cargas.
Durante todas as suas transformações, no entanto, o propósito do grupo permaneceu inalterado. Analistas concluíram com confiança considerável que o TA558 é motivado financeiramente, utilizando dados obtidos ilegalmente para obter e desviar dinheiro. De acordo com Sherrod DeGrippo, vice-presidente de pesquisa e detecção de ameaças da Proofpoint, as ações desse grupo podem impactar tanto as empresas da indústria de viagens quanto os clientes que utilizam esses serviços para suas férias. É importante que as organizações nesses setores estejam cientes das atividades desse grupo e tomem medidas preventivas para se proteger.
Conto do TA558
Desde pelo menos 2018, o TA558 tem como foco principal organizações ligadas principalmente aos setores de viagens, hospitalidade e indústrias correlatas. Essas organizações costumam estar situadas na América Latina, ocasionalmente na América do Norte ou na Europa Ocidental.
Durante sua história, o TA558 empregou e-mails com conteúdo persuasivo para incentivar as vítimas a clicarem em links prejudiciais ou documentos. Esses e-mails, comumente redigidos em português ou espanhol, tipicamente mencionavam reservas de hotéis como isca. A linha de assunto ou o nome do documento anexado costumava ser apenas “reserva”.
Durante suas primeiras investigações, o grupo identificaria falhas no Editor de Equações do Microsoft Word, como por exemplo, a CVE-2017-11882, uma vulnerabilidade que permite a execução de código remotamente. O intuito era instalar um RAT – geralmente o Loda ou Revenge RAT – no computador alvo.
Em 2019, o grupo ampliou suas táticas, incluindo anexos maliciosos em apresentações do Powerpoint e ataques a documentos do Office por meio de injeções de modelo. Além disso, passaram a mirar novos públicos, adotando pela primeira vez iscas de phishing em inglês.
No começo de 2020, o TA558 teve um aumento significativo na atividade, com o lançamento de 25 campanhas maliciosas apenas em janeiro. Durante esse período, eles principalmente empregaram documentos do Office contendo macros maliciosas ou exploraram vulnerabilidades conhecidas no software de escritório.
Os pesquisadores recomendam que organizações, principalmente aquelas presentes em setores específicos da América Latina, América do Norte e Europa Ocidental, estejam atentas às estratégias, métodos e práticas desse ator.
Divulgue este artigo.
- Conteúdo malicioso de software
- Proteção da internet.
Deixe uma resposta