Cybersäkerhetsforskare på Proofpoint publicerar i dag en ny rapport som beskriver hur den cyberkriminella gruppen TA558 allt mer börjat fokusera på hotell- och resenäringen för att distribuera skadlig programvara och stjäla känsliga data som kreditkortsnummer och kunddata från bland annat hotell.
Utvecklingen kommer efter att internationella resor ökat som en följd av att allt fler länder upphört med reserestriktioner.
Några nyckelpunkter från rapporten
- Detta är den första omfattande offentliga rapporten om TA558:s verksamhet. Sedan 2018 har gruppen varit aktiv genom en mängd olika skadliga program inklusive Loda RAT, Vjw0rm och Revenge RAT.
- Gruppen skickar skadliga e-postmeddelanden där man bland annat skickar med detaljer om reservationer på hotellbokningar. Exempelvis har man använt kapade hotellwebbplatser som värd för dessa skadliga program.
- Under 2022 har aktiviteten från TA558 varit högre än tidigare observerat. Liksom andra hotaktörer under 2022, skiftade TA558 från att använda makroaktiverade dokument i kampanjer till att istället använda nya tekniker. Proofpoint har tidigare rapporterat om att cyberkriminella i allt högre utsträckning övergår till att sprida virus via container-format. Detta för att kringgå den makroblockering Microsoft nyligen infört.
– TA558 är en intressant hotaktör som riktar sig till hotell- och reseorganisationer med unika så kallade lockbeten, som hänvisar till saker som reservationer och bokningar. Är man verksam inom dessa branscher bör man vara medvetna om denna aktörs aktiviteter och vidta försiktighetsåtgärder för att skydda sig, säger Sherrod DeGrippo, ansvarig för säkerhetsforskning på Proofpoint.