به گزارش کارگروه حملات سایبری سایبربان؛ هکری به نام TA558 امسال فعالیت های خود را افزایش داده و کمپین های فیشینگی را راه اندازی کرده است که چندین هتل و شرکت فعال در فضای گردشگری و مسافرت را مورد هدف قرار داده اند.
این بازیگر مخرب با استفاده از 15 خانواده بدافزاری متفاوت به سیستم های هدف دسترسی پیدا می کند و ضمن جاسوسی، داده های کلیدی و پول های مشتریان را نیز به سرقت می برد.
TA558 دست کم از سال 2018 فعال است اما شرکت پروف پوینت اخیرا افزایشی مورد توجه را در فعالیت های این بازیگر مخرب مشاهده کرده است. دلیل آن، احتمالا برداشته شدن حدودی محدودیت های کرونا و جان گرفتن دوباره صنعت گردشگری است.
ایمیل های فیشینگی که زنجیره آلوده سازی را آغاز می کنند به زبان های انگلیسی، اسپانیایی و پرتغالی نوشته شده اند و شرکت های فعال در آمریکای شمالی، غرب اروپا و آمریکای لاتین را مورد هدف قرار می دهند.
موضوعات این ایمیل ها معمولا حول محور رزرو بلیط های سفر، دفاتر گردشگری و.. می چرخد.
قربانیایی که بر روی URL موجود در پیام فیشینگ کلیک کنند (لینک رزرو) یک فایل ISO را دریافت خواهند کرد. این آرشیو شامل فایل بَچی است که یک اسکریپت پاورشل را راه اندازی و پی لود RAT را بر روی کامپیوتر قربانی رها می کند.
طبق مشاهدات پروف پوینت، در اکثر موارد از پی لود AsyncRAT و لودا استفاده شده است. ریوِنج رَت، ایکستریم رَت، کَپچِر تِلا رِت و بلو اِستیلِر نیز از دیگر موارد مورد استفاده هستند. (در مقیاس کم تر)
TA558 پس از آلوده کردن سیستم های هتل به بدافزار حرکت خود در شبکه را عمیق تر می کند و داده های مشتریان و جزئیات کارت های بانکی را به سرقت می برد و وبسایت های سمت کاربر را دستخوش تغییرات می کند. در نتیجه، پرداخت های مشتریان را به سوی حساب خود هدایت می کند.
