Investigadores han revelado nuevos detalles de un prolífico grupo APT que ha utilizado 15 familias de malware en los últimos cuatro años para robar datos de empresas de viajes y hostelería.
El grupo TA558, con una motivación financiera, se dirige principalmente a organizaciones de América Latina y, en ocasiones, de América del Norte y Europa Occidental, cambiando entre el portugués, el español y el inglés, según Proofpoint.
Utiliza principalmente correos electrónicos de phishing como vector de acceso, desplegando señuelos con temática de reservas con contenido relevante para la organización víctima, como reservas de habitaciones de hotel.
Estos correos electrónicos contienen enlaces maliciosos o archivos adjuntos diseñados para instalar de forma encubierta malware, que luego permitirá el reconocimiento, el robo de datos y la descarga de cargas útiles adicionales, explica el informe.
Entre los múltiples tipos de malware utilizados por el grupo están Loda RAT, Vjw0rm, Revenge RAT y AsyncRAT.
TA558 utiliza su propia infraestructura la mayor parte del tiempo, aunque Proofpoint ha visto que aprovecha sitios web de hoteles comprometidos para alojar cargas útiles maliciosas en un intento de volar bajo el radar de las herramientas de monitoreo de seguridad.
Aunque el grupo ha estado operativo desde 2018, han aumentado “significativamente” el ritmo de sus campañas en 2022, advirtió Proofpoint.
Al igual que muchos grupos de amenazas, TA558 se ha adaptado rápidamente a la decisión de Microsoft en los últimos meses de deshabilitar las macros por defecto en los productos de Office, utilizando archivos contenedores como archivos adjuntos RAR e ISO en lugar de documentos de Office habilitados para macros.
Info – Ciberseguridad Latam
Especialista en Tecnología #Ciberseguridad #CISO #ComputerForensic #Coach Mail público http://mypublicinbox.com/ingabreuortiz