Las primeras campañas observadas en 2018 y 2019 solían utilizar archivos adjuntos de Word maliciosos que explotaban las vulnerabilidades del editor de ecuaciones

Investigadores de Proofpoint, empresa líder de ciberseguridad y cumplimiento normativo, han publicado el primer informe completo sobre la actividad del grupo de ciberdelincuentes TA558, especialmente ligada a la temporada de vacaciones. Estos atacantes tienen como objetivo empresas de hostelería, viajes y hoteles, ubicadas en su mayoría en América Latina, para robar datos de clientes, como número

s de tarjetas de crédito, y obtener así el mayor beneficio económico posible, sobre todo, siendo este el primer verano sin apenas restricciones por la pandemia para los turistas. Sus campañas consisten en enviar correos electrónicos maliciosos, escritos en español o portugués, intentando desplegar algún tipo de malware, entre los que se encuentran Loda RAT, Vjw0rm y Revenge RAT. Utilizan señuelos relacionados con reservas, habitualmente incluyendo la propia palabra “RESERVA” en el asunto del email, por ejemplo, para una habitación de hotel.

Desde Proofpoint han detallado las acciones llevadas a cabo por TA558 a lo largo de los últimos cuatro años y avisan de que siguen en activo, pese a haber cambiado sus tácticas, técnicas y procedimientos. Las primeras campañas observadas en 2018 y 2019 solían utilizar archivos adjuntos de Word maliciosos que explotaban las vulnerabilidades del editor de ecuaciones. Esto cambió en 2020 y empezaron a distribuir documentos de Office con macros VBA para descargar e instalar malware. Ahora en 2022, como muchos otros ciberdelincuentes, han dejado de utilizar documentos habilitados por macros a partir del anuncio de Microsoft de que empezaría a bloquear por defecto las macros VBA descargadas de Internet.

Sus mensajes suelen contener archivos adjuntos o URLs con el objetivo de difundir la carga útil de malware, normalmente troyanos de acceso remoto (RAT), lo cual puede permitir el reconocimiento, el robo de datos y la distribución de payloads de seguimiento. Asimismo, es la primera vez que utilizan URLs con tanta frecuencia. Las han usado en 27 campañas en lo que va de año, en comparación con solo cinco campañas de 2018 a 2021. Normalmente, estas URLs conducen a archivos contenedores, como ISO o archivos zip que contengan ejecutables.

Hasta ahora, el año en el que el grupo de ciberdelincuentes TA558 había sido más activo fue 2020, con 74 campañas identificadas. En 2018, 2019 y 2021 hubo 9, 70 y 18 campañas totales, respectivamente. En 2022, el ritmo de las campañas ha aumentado considerablemente. En lo que va de año, los analistas de Proofpoint ya han observado 51 campañas de TA558. Los expertos achacan este aumento de la actividad a que este verano ha tenido más afluencia de viajes internacionales desde que se declarara la pandemia por Covid.

“TA558 es un grupo de ciberdelincuentes interesante, ya que se dirige a las organizaciones de hostelería y viajes con unos señuelos únicos que hacen referencia a asuntos como reservas y contrataciones”, explica Sherrod DeGrippo, vicepresidenta de Investigación y Detección de Amenazas de la compañía. “Aunque no tenemos visibilidad de sus objetivos finales, estos compromisos podrían afectar tanto a las empresas en la industria de viajes, así como potencialmente a los clientes que las han utilizado para sus vacaciones. Las organizaciones de estos sectores y otros relacionados deberían estar al tanto de las actividades de estos ciberdelincuentes y tomar precauciones para protegerse”.

Las organizaciones del sector turístico, especialmente las que operan en América Latina, América del Norte y Europa Occidental, deben tener muy presentes las tácticas, técnicas y los procedimientos de estos ciberdelincuentes. Desde Proofpoint recomiendan a las organizaciones que formen a sus empleados en seguridad para que puedan identificar e informar sobre correos sospechosos, ya que TA558 sigue en activo. Estas campañas suponen una grave amenaza tanto para las empresas del sector como para sus clientes, los viajeros.

Captura de pantalla de un correo electrónico en español del grupo de ciberdelincuentes TA558. Imagen: Proofpoint