Un hacker (de nombre en clave TA558) ha incrementado sus ataques de phishing este año. Están dirigidas a varios hoteles y empresas del sector de la hostelería y los viajes. Los ataques también están en España y, de hecho, tras el idioma portugués, es el español el más usado por este hacker.
El actor de la amenaza utiliza un conjunto de 15 familias de malware distintas, generalmente troyanos de acceso remoto (RAT), para obtener acceso a los sistemas de destino y luego poder llevar a cabo tareas de vigilancia, robar datos clave y desviar el dinero de los clientes.
TA558 ha estado activo desde al menos 2018, pero Proofpoint, la empresa que ha descubierto este phishing, ha visto recientemente un repunte en sus actividades este verano de 2022, posiblemente relacionado con el enorme incremento del turismo después de dos años de restricciones COVID-19. De hecho, este sector está siendo objetivo de ataques y no solo con este phishing. Hace unos días conocíamos
Cómo son las técnicas de este phishing
Los correos electrónicos de phishing que se han descubierto y que inician la cadena de infección están escritos en inglés, español y portugués. Se dirigen a empresas de América del Norte, Europa Occidental y América Latina.
En el mail, el emisor dice que quiere realizar una reserva en un hotel o en una empresa de viajes. El hacker dice ser un organizador de conferencias, agentes de oficinas de turismo y otros similares, que van a llevar a muchas personas a ese hotel o servicio de viajes.
Las víctimas que hagan clic en la URL que aparece en el cuerpo del mensaje, que supuestamente es un enlace para proceder con la reserva, recibirán un archivo ISO de un recurso remoto. El archivo lanza un script de PowerShell que finalmente deja caer la carga útil de la RAT en el ordenador de la víctima y crea una tarea programada.
Una vez comprometidos los sistemas del hotel con el malware RAT, TA558 se adentra en la red para robar datos de los clientes, los detalles de las tarjetas de crédito almacenadas y modificar los sitios web orientados al cliente para desviar los pagos de las reservas.
Nuevas técnicas frente a Microsoft
En 2022, TA558 pasó de utilizar documentos macros en sus correos electrónicos de phishing y adoptó archivos adjuntos RAR e ISO o URLs incrustadas en los mensajes. Según Bleeping Computer, este tipo de amenazas comienzan a ser más usadas en respuesta a la decisión de Microsoft de bloquear las macros VBA y XL4 en Office, que los hackers utilizaban históricamente para cargar, soltar e instalar malware a través de documentos maliciosos.
Los robos pueden ser de grandes cantidades de dinero: el pasado mes de julio el Marino Boutique Hotel de Lisboa (Portugal) sufrió el hackeo de su cuenta de Booking.com, y el intruso robó 500.000 euros en solo cuatro días a clientes desprevenidos que habían pagado por reservar una habitación. No se sabe si ha sido con este phishing, por el momento, pero se cree que podría ser.
Ver 1 comentarios