A TA558-as néven hivatkozott hacker kollektíva adathalász kampányt indított különböző szállodák, vendéglátó egységek és utazási irodák ellen. Mindezt 15 különböző rosszindulatú programcsaláddal végzik, általában távoli hozzáférésű trójaiakkal (RAT), amikkel hozzáférést szereznek a célrendszerekhez, kiterjesztik jogosultságaikat, ellopják a kulcsfontosságú adatokat és végül pénzt csalnak ki az áldozatokból.
A TA558 legalább 2018 óta folytat rosszindulatú kibertevékenységet, a Proofpoint szerint azonban az utóbbi időben aktívabbak lettek, köszönhetően a világjárvány okozta kétéves utazási korlátozások feloldásának.
Legutóbbi kampányuk során – a korábbiakban használt rosszindulatú makrók helyett – RAR vagy ISO fájlmellékleteket, illetve beágyazott URL-ket tartalmazó adathalász e-maileket alkalmaznak. (A váltásra feltehetően a Microsoft azon intézkedése miatt került sor, miszerint alapértelmezetten blokkolásra kerülnek az Internetről származó Office fájlok esetén a VBA makrók.) Az üzenetek angol, spanyol és portugál nyelven íródtak, jellemzően észak-amerikai, nyugat-európai és latin-amerikai cégeket céloznak. Az e-mailekben úgy tesznek, mintha konferenciaszervezők, turisztikai iroda vagy más olyan szolgáltatók lennének, akiket a vendéglátó egységek ritkán hagynak figyelmen kívül. Az e-mailben szereplő állítólagos foglalási linkre kattintva egy ISO fájl kerül az áldozat eszközére, ami elindít egy PowerShell szkriptet, ami végül letölti a RAT programot.
Kép forrása a BleepingComputer
Miután kompromittálták a szállodai rendszereket, a TA558 tovább terjeszkedik a hálózaton, hogy megszerezze a szálloda ügyféladatait, köztük hitelkártya-adatokat – amelyeket később eladásra kínál vagy zsaroláshoz használ fel –, valamint módosítja (átirányítja) a fizetési oldalakat.
2022 júliusában például feltörték a lisszaboni Marino Boutique Hotel Booking.com fiókját és négy nap alatt közel 500 000 eurót loptak el a gyanútlan ügyfelektől, akik ki szerették volna fizetni a szobafoglalásukat. Bár annak ellenére, hogy a TTPs (Tactics, Techniques, and Procedures), valamint a célpont is beleillik a TA558 támadási profiljába, nincs bizonyíték az érintettségüket illetően.
