Se ve a un actor de amenazas rastreado como TA558 apuntando ferozmente a las empresas hoteleras, especialmente a los hoteles, para robar los datos de sus clientes y, finalmente, su dinero.
Usando correos electrónicos de phishing cuidadosamente elaborados como el vector principal, TA558 está colocando una RAT en los sistemas de la víctima, realizando vigilancia y modificando la configuración interna para desviar los hallazgos del cliente a su cuenta. Aparte de esto, también está robando la PII y los datos confidenciales de la tarjeta de pago, que pueden usarse para otras operaciones maliciosas.
Entrar, observar y robar
Como señalaron los investigadores de Proofpoint en su blog, un actor de amenazas rastreado como TA558 está afectando a las empresas de la industria hotelera – especialmente hoteles con una campaña de phishing para robar datos y fondos de sus clientes.
Notaron que el actor de hilos elaboraba sus correos electrónicos de phishing en inglés, español y portugués, por lo tanto, se dirigía a empresas en América del Norte, Europa Occidental y América Latina.
Los temas de estos correos electrónicos incluyen reservas en la organización de destino, que pretenden provenir de organizadores de conferencias o agentes de la oficina de turismo, que los destinatarios no pueden ignorar fácilmente. A medida que les responde haciendo clic en alguna URL dirigida para obtener más información, descarga un archivo ISO de un servidor remoto.
Este contiene un archivo por lotes que inicia un script de PowerShell, que trae una carga útil RAT al sistema de la víctima. Mientras realiza el reconocimiento del actor de amenazas, también crea tareas programadas para la persistencia.
Los investigadores notaron 15 familias de malware distintas utilizadas por TA558 en sus campañas, con AsyncRAT o Loda como mayores, mientras Revenge RAT, XtremeRAT, CaptureTela, y BluStealer para objetivos más pequeños.
Una vez dentro, capturan la información confidencial de los clientes ingresada en los dominios de las víctimas y desvían los pagos de sus reservas a algo de su propia billetera. Además de perder dinero, los clientes también pueden verse afectados por el fraude de identidad si el actor de amenazas decide venderlos a otros actores malintencionados.
Aunque TA558 ha estado funcionando desde 2018, los investigadores notaron un aumento en sus operaciones en 2022, probablemente debido a la reanudación de los viajes después de las restricciones de COVID-19.
