Pas op voor cybercriminelen die via mailware de creditcardgegevens willen stelen van klanten. Cybercrimegroep TA558 verspreidt mailware bij hotel- horeca- en reisorganisaties om creditcardnummers en data van klanten te stelen. Dit blijkt uit eerder onderzoek van Proofpoint over het risico van werkvakanties en de kwetsbaarheid van reiswebsites.
Nu het internationale reisverkeer tijdens de zomer in volle gang is in de nasleep van de pandemie, heeft TA558 zijn activiteiten opgevoerd en vormt de groep een bedreiging voor zowel reisorganisaties als reizigers. Hierna zal zij ongetwijfeld haar pijlen richten op het zakelijk reisverkeer. Het congresseizoen staat ook weer op punt van beginnen.
Dit is het eerste uitgebreide openbare rapport over TA558. Sinds 2018 hebben zij in hun campagnes geprobeerd om allerlei malware te verspreiden, waaronder Loda RAT, Vjw0rm en Revenge RAT. De groep verstuurt malafide e-mails met bijvoorbeeld een hotelreservering als thema. Daarnaast worden gecompromitteerde hotelwebsites gebruikt om de malware te hosten.
TA558 verhoogde zijn activiteit in 2022 tot bovengemiddeld. TA558 richt zich voornamelijk op Portugese en Spaanse doelwitten, meestal in de regio Latijns-Amerika, met ook doelwitten in West-Europa en Noord-Amerika. Net als andere cybercriminele groepen in 2022, stapte TA558 af van het gebruik van macro's in documenten en werden nieuwe tactieken, technieken en procedures toegepast.
"TA558 is een interessante speler die zich richt op horeca- en reisorganisaties met unieke lokmiddelen die verwijzen naar bijvoorbeeld reserveringen of boekingen. Hoewel we het uiteindelijke doel van de groep niet kennen, zullen geslaagde aanvallen vervelende gevolgen hebben voor organisaties in de reisbranche, evenals hun klanten. Organisaties in deze en aanverwante sectoren moeten zich bewust zijn van de activiteiten van deze cybercriminelen en voorzorgsmaatregelen nemen om zichzelf te beschermen", aldus Sherrod DeGrippo, Vice President Threat and Research bij Proofpoint.