El grupo de ciberdelincuentes TA558 pone foco en el sector turístico latinoamericano

TA558 es un grupo de ciberdelincuentes cuya actividad está especialmente ligada a la temporada de vacaciones. Si en 2020 fue responsable de 74 campañas identificadas, y en 2021 hubo 18 campañas totales, en 2022, el ritmo de las campañas ha aumentado considerablemente. En lo que va de año, los analistas de Proofpoint ya han observado 51 campañas de TA558. Los expertos achacan este aumento de la actividad a que este verano ha tenido más afluencia de viajes internacionales desde que se declarara la pandemia.

Estos atacantes tienen como objetivo empresas de hostelería, viajes y hoteles, ubicadas en su mayoría en América Latina, para robar datos de clientes, como números de tarjetas de crédito, y obtener así el mayor beneficio económico posible. Sus campañas consisten en enviar correos electrónicos maliciosos, escritos en español o portugués, intentado desplegar algún tipo de malware, entre los que se encuentran Loda RAT, Vjw0rm y Revenge RAT. Utilizan señuelos relacionados con reservas, habitualmente incluyendo la propia palabra “reserva” en el asunto del email, por ejemplo, para una habitación de hotel.

Las primeras campañas solían utilizar archivos adjuntos de Word maliciosos que explotaban las vulnerabilidades del editor de ecuaciones, y en 2020 y empezaron a distribuir documentos de Office con macros VBA para descargar e instalar malware. Ahora, como muchos otros ciberdelincuentes, han dejado de utilizar documentos habilitados por macros a partir del anuncio de Microsoft de que empezaría a bloquear por defecto las macros VBA descargadas de Internet.

Sus mensajes suelen contener archivos adjuntos o URLs con el objetivo de difundir la carga útil de malware, normalmente troyanos de acceso remoto (RAT), lo cual puede permitir el reconocimiento, el robo de datos y la distribución de payloads de seguimiento. Asimismo, es la primera vez que utilizan URLs con tanta frecuencia. Normalmente, estas URLs conducen a archivos contenedores, como ISO o archivos zip que contengan ejecutables.

“TA558 es un grupo de ciberdelincuentes interesante, ya que se dirige a las organizaciones de hostelería y viajes con unos señuelos únicos que hacen referencia a asuntos como reservas y contrataciones”, explica Sherrod DeGrippo, vicepresidenta de Investigación y Detección de Amenazas de la compañía. “Aunque no tenemos visibilidad de sus objetivos finales, estos compromisos podrían afectar tanto a las empresas en la industria de viajes, así como potencialmente a los clientes que las han utilizado para sus vacaciones. Las organizaciones de estos sectores y otros relacionados deberían estar al tanto de las actividades de estos ciberdelincuentes y tomar precauciones para protegerse”.