Durante um período de atividade acelerada, o TA558 intensificou seus esforços para direcionar as indústrias de viagens e acomodações. Após lutarem contra as restrições de viagem relacionadas ao COVID, o grupo de ameaças aumentou suas ações contra as companhias aéreas e hotéis para aumentar viagens e reservas.
Alertas foram fornecidos por especialistas em segurança que advertem que a campanha do grupo TA558 de 2018 foi atualizada com mensagens de e-mail fraudulentas contendo links – clicar neles resulta na entrega de um pacote de malware malicioso contendo diversas variantes de ameaças.
Esta campanha mais recente é única, devido ao uso de arquivos compactados RAR e ISO ligados às mensagens, conforme documentado pelo relatório da Proofpoint. Esses arquivos são únicos, pois, quando executados, decompõem dados de arquivos e pastas dentro deles.
Em 2022, TA558 começou a usar URLs com maior regularidade. Comparativamente, entre 2018 e 2021, o TA558 realizou 27 campanhas empregando URLs, contra apenas cinco de maneira geral. Segundo a Proofpoint, os URLs geralmente direcionavam para arquivos como ISOs ou arquivos zip [RAR] com executáveis.
Para ser atingido, a vítima-alvo precisaria cair na armadilha de descompactar o arquivo de arquivos. “O link de backup… levou a um arquivo ISO e a um arquivo de lote embutido. Ao executar o arquivo BAT, um script auxiliar do PowerShell foi acionado e baixou uma carga útil seguinte, o AsyncRAT”, explicaram os pesquisadores.
Aperfeiçoe seu plano de ação em relação aos riscos de infecção por malware.
Os TA558, seguidos por Palo Alto Networks em 2018, Cisco Talos em 2020 e 2021, e Uptycs no ano passado, em suas campanhas anteriores, usaram anexos maliciosos de documentos Microsoft Word (CVE-2017-11882) ou URLs para download e instalação de malware, de acordo com Proofpoint.
É provável que a troca para arquivos ISO e RAR venha com os anúncios da Microsoft no encerramento de 2021 e começo de 2022 sobre desativar macros [VBA e XL4] por padrão em produtos da Microsoft Office, de acordo com os pesquisadores.
Em 2022, o período de campanha aumentou bastante. Os cibercriminosos usaram uma série de malware, incluindo Loda, Revenge RAT e AsyncRAT. Para a entrega destes malwares, eles utilizaram diversos métodos, tais como URLs, anexos RAR, anexos ISO e documentos do Office, informaram os pesquisadores.
As últimas campanhas de malware foram caracterizadas por incluir frequentemente típicos troyanos de acesso remoto (RATs), que podem proporcionar aos invasores a capacidade de se reconhecerem, roubarem informações e propagarem cargas de ameaças adicionais, segundo a Proofpoint.
Embora tenham havido inúmeras mudanças no decorrer do tempo, no entanto o objetivo do grupo sempre foi o mesmo. Após uma análise aprofundada, foi concluído com muita segurança que TA558 é motivado financeiramente, usando informações roubadas para obter lucro. Sherrod DeGrippo, vice-presidente de pesquisa e detecção de ameaças da Proofpoint, alertou que “esta organização pode afetar diretamente indústrias de viagens, bem como os clientes que usam suas ferramentas para suas férias. Portanto é necessário que as organizações desses setores tomem precauções para se proteger.”
A TA558 é uma história que começa há muito tempo. É uma história de tecnologia, desenvolvimento e inovação que percorreu um longo caminho desde o início. É uma história de sucesso que continua a crescer e evoluir com o tempo.
Desde 2018, o TA558 tem centros de atuação que se concentram especialmente em áreas como turismo, hospitalidade e outras indústrias relacionadas. Estas organizações tendem a estar localizadas na América Latina, e em ocasiões em países da América do Norte e Europa Ocidental.
Durante seu histórico, o TA558 empregou e-mails projetados para fins sociais com o objetivo de atrair possíveis vítimas para clicar ou baixar links e documentos perigosos. Esses e-mails, mais comumente escritos em línguas portuguesa ou espanhola, visavam às vezes preocupações relacionadas à reserva de hotéis. O assunto desses e-mails ou o nome do documento anexado, por vezes, era tão simples quanto “Reserva”.
Em suas primeiras incursões, a equipe explorou as falhas no Editor de Equação do Microsoft Word – por exemplo, CVE-2017-11882, uma vulnerabilidade que permitia a execução remota de código. O intuito era baixar um RAT – mais frequentemente Loda ou Revenge RAT – para o computador alvo.
Em 2019, o grupo ampliou seus recursos com anexos maliciosos do PowerPoint e injeções de modelo malicioso contra os documentos do Office. Eles também expandiram sua base de usuários para novos segmentos, lançando pela primeira vez iscas de phishing em língua inglesa.
No início de 2020, o TA558 foi muito ativo, pois lançou 25 iniciativas mal-intencionadas somente em janeiro. Principalmente, eles contaram com documentos do Office com macros, bem como vulnerabilidades de escritório conhecidas para direcionar suas ações durante esse período.
Organizações, especialmente aquelas que operam em países dos continentes da América Latina, América do Norte e Europa Ocidental devem estar conscientes das táticas, técnicas e procedimentos deste ator, de acordo com os pesquisadores.
Mande esse artigo para outras pessoas.
- Vírus maliciosos são programas que podem ser empregados para extrair informações privadas.
- A questão da segurança na Web é crucial para todos os usuários da Internet. Todos devem adotar medidas para garantir que suas informações pessoais e dados sejam conservados em segurança.