HAKERI u novim napadima ciljaju HOTELE i TURISTIČKE AGENCIJE uz pomoć lažnih rezervacija
Haker pod nazivom TA558 povećao je svoju aktivnost ove godine, pokrenuvši phishing kampanje koje ciljaju više hotela i firmi u ugostiteljskom i putničkom prostoru.
Akter pretnje koristi skup od 15 različitih porodica malvera, obično trojanaca za daljinski pristup (RAT), da bi dobio pristup ciljnim sistemima, izvršio nadzor, ukrao ključne podatke i na kraju izvukao novac od klijenata.
TA558 je aktivan od 2018. godine, ali Proofpoint je nedavno zabeležio porast u njegovim aktivnostima, verovatno povezanim sa oživljavanjem turizma nakon dve godine ograničenja zbog COVID histerije.
U 2022. godini, TA558 je prešao sa korišćenja dokumenata sa makroom u svojim phishing imejlovima i usvojio RAR i ISO priloge datoteka ili ugrađene URL adrese u poruke.
Slične promene su primećene i kod drugih aktera pretnji kao odgovor na Microsoftovu odluku da blokira VBA i KSL4 makroe u Office-u, koje su hakeri koristili za učitavanje, izbacivanje i instaliranje malvera putem zlonamernih dokumenata.
PONEDELJAK 20:30h! UŽIVO! NAJNOVIJE ZABRANJENE INFORMACIJE
E-poruke za krađu identiteta koje pokreću lanac infekcije su napisane na engleskom, španskom i portugalskom, a ciljaju na kompanije u Severnoj Americi, Zapadnoj Evropi i Latinskoj Americi.
Teme e-pošte se vrte oko pravljenja rezervacije za ciljnu organizaciju, pretvarajući se da dolaze od organizatora konferencija, agenata turističkih kancelarija i drugih izvora koje primaoci ne mogu lako odbaciti.
Žrtve koje kliknu na URL u telu poruke, za koju se tvrdi da je veza za rezervaciju, dobiće ISO datoteku sa udaljenog izvora.
Arhiva sadrži batch datoteku koja pokreće PoverShell skriptu koja na kraju ispušta RAT na računar žrtve.
Pošto je kompromitovao hotelske sisteme sa RAT malverom, TA558 se pomera dublje u mrežu da bi ukrao podatke o klijentima, uskladištene podatke o kreditnoj kartici i modifikovao veb-sajtove okrenute klijentima kako bi preusmerio uplate za rezervacije.
U julu 2022. godine, hotelu Marino u Lisabonu, u Portugalu, hakovan je Booking.com nalog, a haker je ukrao 500.000 evra za četiri dana od nesuđenih klijenata koji su platili da rezervišu sobu.
Iako umešanost TA558, u tom slučaju, nije dokazana, ona odgovara TTP-ovima aktera pretnje i opsegu ciljanja i barem daje primer kako bi mogli da unovče svoj pristup hotelskim sistemima.
Drugi načini za TA558 da zaradi novac bili bi prodaja ili upotreba ukradenih podataka o kreditnoj kartici, prodaja podataka o identitetu klijenta, ucenjivanje pojedinaca sa visokim interesom ili prodaja pristupa kompromitovanoj hotelskoj mreži ekipama koje se bave ransomvare-om.
