Facebook Linkedin Twitter Instagram Youtube Telegram

Los ciberdelincuentes TA558 ponen el punto de mira en el sector turístico en este primer verano sin restricciones

Las primeras campañas observadas en 2018 y 2019 solían utilizar archivos adjuntos de Word maliciosos que explotaban las vulnerabilidades del editor de ecuaciones

Investigadores de Proofpoint, empresa líder de ciberseguridad y cumplimiento normativo, han publicado el primer informe completo sobre la actividad del grupo de ciberdelincuentes TA558, especialmente ligada a la temporada de vacaciones. Estos atacantes tienen como objetivo empresas de hostelería, viajes y hoteles, ubicadas en su mayoría en América Latina, para robar datos de clientes, como número

s de tarjetas de crédito, y obtener así el mayor beneficio económico posible, sobre todo, siendo este el primer verano sin apenas restricciones por la pandemia para los turistas. Sus campañas consisten en enviar correos electrónicos maliciosos, escritos en español o portugués, intentando desplegar algún tipo de malware, entre los que se encuentran Loda RAT, Vjw0rm y Revenge RAT. Utilizan señuelos relacionados con reservas, habitualmente incluyendo la propia palabra “RESERVA” en el asunto del email, por ejemplo, para una habitación de hotel.

Desde Proofpoint han detallado las acciones llevadas a cabo por TA558 a lo largo de los últimos cuatro años y avisan de que siguen en activo, pese a haber cambiado sus tácticas, técnicas y procedimientos. Las primeras campañas observadas en 2018 y 2019 solían utilizar archivos adjuntos de Word maliciosos que explotaban las vulnerabilidades del editor de ecuaciones. Esto cambió en 2020 y empezaron a distribuir documentos de Office con macros VBA para descargar e instalar malware. Ahora en 2022, como muchos otros ciberdelincuentes, han dejado de utilizar documentos habilitados por macros a partir del anuncio de Microsoft de que empezaría a bloquear por defecto las macros VBA descargadas de Internet.

Sus mensajes suelen contener archivos adjuntos o URLs con el objetivo de difundir la carga útil de malware, normalmente troyanos de acceso remoto (RAT), lo cual puede permitir el reconocimiento, el robo de datos y la distribución de payloads de seguimiento. Asimismo, es la primera vez que utilizan URLs con tanta frecuencia. Las han usado en 27 campañas en lo que va de año, en comparación con solo cinco campañas de 2018 a 2021. Normalmente, estas URLs conducen a archivos contenedores, como ISO o archivos zip que contengan ejecutables.

Hasta ahora, el año en el que el grupo de ciberdelincuentes TA558 había sido más activo fue 2020, con 74 campañas identificadas. En 2018, 2019 y 2021 hubo 9, 70 y 18 campañas totales, respectivamente. En 2022, el ritmo de las campañas ha aumentado considerablemente. En lo que va de año, los analistas de Proofpoint ya han observado 51 campañas de TA558. Los expertos achacan este aumento de la actividad a que este verano ha tenido más afluencia de viajes internacionales desde que se declarara la pandemia por Covid.

“TA558 es un grupo de ciberdelincuentes interesante, ya que se dirige a las organizaciones de hostelería y viajes con unos señuelos únicos que hacen referencia a asuntos como reservas y contrataciones”, explica Sherrod DeGrippo, vicepresidenta de Investigación y Detección de Amenazas de la compañía. “Aunque no tenemos visibilidad de sus objetivos finales, estos compromisos podrían afectar tanto a las empresas en la industria de viajes, así como potencialmente a los clientes que las han utilizado para sus vacaciones. Las organizaciones de estos sectores y otros relacionados deberían estar al tanto de las actividades de estos ciberdelincuentes y tomar precauciones para protegerse”.

Las organizaciones del sector turístico, especialmente las que operan en América Latina, América del Norte y Europa Occidental, deben tener muy presentes las tácticas, técnicas y los procedimientos de estos ciberdelincuentes. Desde Proofpoint recomiendan a las organizaciones que formen a sus empleados en seguridad para que puedan identificar e informar sobre correos sospechosos, ya que TA558 sigue en activo. Estas campañas suponen una grave amenaza tanto para las empresas del sector como para sus clientes, los viajeros.

Captura de pantalla de un correo electrónico en español del grupo de ciberdelincuentes TA558. Imagen: Proofpoint

Picture of Redacción

Redacción

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.