Hackersgroep TA558 voert phishing-campagnes uit op hotels en bedrijven in reissector. Hiervoor worden vijftien verschillende malware families gebruikt.

Het gaat om remote access trojan (RAT’s), om toegang te krijgen tot de doelsystemen, surveillance uit te voeren en belangrijke gegevens te stelen. Uiteindelijk is het de bedoeling om geld van klanten te stelen. TA558 is actief sinds ten minste 2018, maar Proofpoint heeft onlangs een opleving gezien met de huidige activiteiten. Mogelijk is het gekoppeld aan de opleving van het toerisme na twee jaar Covid-19-beperkingen.

E-mails in meerdere talen

In 2022 stapte TA558 over van het gebruik van documenten met macro-opmaak in zijn phishing-e-mails naar het gebruik van RAR- en ISO-bestandsbijlagen of ingesloten URL’s in de berichten.

Vergelijkbare veranderingen zijn waargenomen bij andere bedreigingsactoren in reactie op het besluit van Microsoft om VBA- en XL4-macro’s in Office te blokkeren. Hackers gebruikten ze in het verleden voor het laden, droppen en installeren van malware via schadelijke documenten.

De phishing-e-mails die de infectieketen in gang zetten, zijn geschreven in het Engels, Spaans en Portugees en gericht op bedrijven in Noord-Amerika, West-Europa en Latijns-Amerika.

De e-mailonderwerpen claimen te gaan om een reservering, waarbij wordt gedaan alsof ze afkomstig zijn van conferentieorganisaties, VVV-kantoren en andere bronnen die de ontvangers niet gemakkelijk kunnen afwijzen.

Slachtoffers die op de URL in de berichttekst klikken, die zogenaamd een reserveringslink is, ontvangen een ISO-bestand van een externe bron.

Het archief bevat een batchbestand dat een PowerShell-script start dat uiteindelijk de RAT payload op de computer van het slachtoffer dropt en een geplande taak aanmaakt voor persistentie.

Nadat de RAT-malware hotelsystemen heeft aangetast, dringt TA558 dieper door in het netwerk om klantgegevens te stelen, creditcardgegevens op te slaan en de klantgerichte websites aan te passen om reserveringsbetalingen om te leiden.

Andere manieren waarop TA558 geld kan verdienen zijn het verkopen of gebruiken van de gestolen creditcardgegevens, het verkopen van PII-data van klanten, het chanteren van hooggeplaatste personen of het verkopen van toegang tot het netwerk van het gecompromitteerde hotel aan ransomware bendes.