Ένας χάκερ που παρακολουθείται ως TA558 έχει αυξήσει τη δραστηριότητά του φέτος, τρέχοντας καμπάνιες phishing που στοχεύουν πολλά ξενοδοχεία και εταιρείες στον χώρο φιλοξενίας και ταξιδιών.
Ο παράγοντας απειλών χρησιμοποιεί ένα σύνολο 15 διαφορετικών οικογενειών κακόβουλου λογισμικού, συνήθως trojans απομακρυσμένης πρόσβασης (RAT), για να αποκτήσει πρόσβαση στα συστήματα-στόχους, να εκτελέσει επιτήρηση, να κλέψει βασικά δεδομένα και τελικά να αποσπάσει χρήματα από πελάτες.
Το TA558 ήταν ενεργό τουλάχιστον από το 2018, αλλά η Proofpoint πρόσφατα σημείωσε άνοδο στις δραστηριότητές της, πιθανώς συνδεδεμένη με την ανάκαμψη του τουρισμού μετά από δύο χρόνια περιορισμών για τον COVID-19.
Πρόσφατες καμπάνιες TA558
Το 2022, το TA558 άλλαξε τη χρήση εγγράφων με μακροεντολές στα μηνύματα ηλεκτρονικού ψαρέματος και υιοθέτησε συνημμένα αρχεία RAR και ISO ή ενσωματωμένες διευθύνσεις URL στα μηνύματα.
Παρόμοιες αλλαγές παρατηρήθηκαν με άλλους παράγοντες απειλών ως απάντηση στην απόφαση της Microsoft να αποκλείσει τις μακροεντολές VBA και XL4 στο Office, τις οποίες οι χάκερ χρησιμοποιούσαν ιστορικά για φόρτωση, απόθεση και εγκατάσταση κακόβουλου λογισμικού μέσω κακόβουλων εγγράφων.
Τα μηνύματα ηλεκτρονικού ψαρέματος που ξεκινούν την αλυσίδα μόλυνσης είναι γραμμένα στα αγγλικά, τα ισπανικά και τα πορτογαλικά και στοχεύουν εταιρείες στη Βόρεια Αμερική, τη Δυτική Ευρώπη και τη Λατινική Αμερική.
