Хакер, отслеживаемый как TA558, активизировал свою деятельность в этом году, запустив фишинговые кампании, нацеленные на несколько отелей и фирм в сфере гостеприимства и путешествий.
Злоумышленник использует набор из 15 различных семейств вредоносных программ, обычно троянов удаленного доступа (RAT), для получения доступа к целевым системам, осуществления наблюдения, кражи ключевых данных и, в конечном итоге, выкачивания денег у клиентов.
TA558 был активен по крайней мере с 2018 года, но в Proofpoint недавно наблюдался всплеск его активности, возможно, связанный с восстановлением туризма после двух лет ограничений COVID-19.
В 2022 году TA558 отказался от использования документов с макросами в своих фишинговых электронных письмах и принял вложения файлов RAR и ISO или встроенные URL-адреса в сообщениях.
Аналогичные изменения произошли и с другими субъектами угроз в ответ на решение Microsoft заблокировать макросы VBA и XL4 в Office, которые хакеры исторически использовали для загрузки, удаления и установки вредоносных программ через вредоносные документы.
Фишинговые электронные письма, запускающие цепочку заражения, написаны на английском, испанском и португальском языках и нацелены на компании в Северной Америке, Западной Европе и Латинской Америке.
Темы электронных писем вращаются вокруг бронирования в целевой организации, притворяясь, что они исходят от организаторов конференций, агентов туристических офисов и других источников, от которых получатели не могут легко отказаться.
