I ricercatori di Proofpoint seguono le attività di un gruppo di cybercriminali (TA558) che prende di mira gli hotel e il settore dei viaggi in generale. Nel corso del 2022 sono stati rilevati nuovi attacchi contro aziende che operano in Europa, America Latina e Nord America, ma sono cambiate le TTP (tattiche, tecniche e procedure) utilizzate, in seguito al blocco delle macro da parte di Microsoft. L’obiettivo è installare RAT (Remote Access Trojan) per rubare informazioni sensibili dei clienti.
Nuovi metodi per rubare i dati
La prima campagna malware del gruppo TA558 è stata scoperta nel 2018. All’epoca, i cybercriminali hanno sfruttato una vulnerabilità di Equation Editor per distribuire Revenge RAT tramite false email di prenotazione inviate agli hotel. Nel 2019 sono stati rilevati attacchi di phishing effettuati con allegati Word contenenti macro infette. Oltre a Revenge RAT sono stati utilizzati i malware Loda e vjw0rm.
Simili tattiche sono state sfruttate nel 2020, ma in alcuni casi l’allegato era un file PowerPoint. La macro VBA eseguiva uno script PowerShell che scaricava uno script VBS. Quest’ultimo installava quindi Revenge RAT e altri malware, tra cui njRAT e Ozone RAT. Nel 2021 è stato aggiunto anche AsyncRAT all’elenco dei malware e utilizzata una catena di attacco più complessa con una serie di script.
In seguito al blocco delle macro da parte di Microsoft, i cybercriminali hanno iniziato ad usare altre tecniche. Quella più popolare, sfruttata nel corso del 2022 dal gruppo TA558, prevede l’invio di file ISO, RAR o ZIP, come allegati o tramite siti indicati nell’email. Al loro interno c’è un file batch che permette di scaricare il malware sul computer.
I ricercatori di Proofpoint hanno rilevato almeno 15 famiglie di malware dal 2018 ad oggi. Le più utilizzate nel 2022 sono AsyncRAT, Loda, XtremeRAT, Revenge RAT, CapturaTela e BluStealer. L’obiettivo è rubare i dati dei clienti e dell’azienda. In alcuni casi è stato modificato il sito per dirottare i pagamenti verso i conti dei cybercriminali.