Хакер, отслеживаемый как TA558, активизировал свою деятельность в этом году, запустив фишинговые кампании, нацеленные на несколько отелей и фирм в сфере гостеприимства и путешествий.

Злоумышленник использует набор из 15 различных семейств вредоносных программ, обычно троянов удаленного доступа (RAT), для получения доступа к целевым системам, осуществления наблюдения, кражи ключевых данных и, в конечном итоге, выкачивания денег у клиентов.

TA558 был активен по крайней мере с 2018 года, но в Proofpoint недавно наблюдался всплеск его активности, возможно, связанный с восстановлением туризма после двух лет ограничений COVID-19.

В 2022 году TA558 отказался от использования документов с макросами в своих фишинговых электронных письмах и принял вложения файлов RAR и ISO или встроенные URL-адреса в сообщениях.

Аналогичные изменения произошли и с другими субъектами угроз в ответ на решение Microsoft заблокировать макросы VBA и XL4 в Office, которые хакеры исторически использовали для загрузки, удаления и установки вредоносных программ через вредоносные документы.

Фишинговые электронные письма, запускающие цепочку заражения, написаны на английском, испанском и португальском языках и нацелены на компании в Северной Америке, Западной Европе и Латинской Америке.

Темы электронных писем вращаются вокруг бронирования в целевой организации, притворяясь, что они исходят от организаторов конференций, агентов туристических офисов и других источников, от которых получатели не могут легко отказаться.

Источник: secure news