La recuperación turística da alas al grupo de ciberdelincuentes TA558

El grupo de cibercriminales TA558 vuelve al ataque con la campaña de vacaciones veraniega y la recuperación del turismo a nivel internacional.

Aunque lleva años activo, ha ido modificando sus tácticas para adaptarse a las circunstancias. En el 2018 comenzó usando archivos de Word adjuntos que explotaban ciertas vulnerabilidades. Luego se centró en distribuir documentos de Office y en aprovechar el tema de los macros, algo a lo que Microsoft ha decidido ponerle freno con su bloqueo por defecto. Ahora se está extendiendo el uso de URLs, que suelen conducir a archivos contenedores como ISO o ZIPs con ejecutables.

Así lo explica Proofpoint, que ha elaborado un informe sobre la actividad de este grupo de ciberdelincuencia.

Su objetivo son las compañías dedicadas a la hostelería y el sector de los viajes, como los hoteles, con la clara intención de robar datos de los clientes, incluyendo el número de sus tarjetas bancarias.

TA558 envía correos electrónicos maliciosos, en buena parte escritos en español, que aprovechan señuelos como la palabra “reserva” en el asunto. De este modo buscan llamar la atención de sus víctimas y desplegar malware como Loda RAT, Vjw0rm o Revenge RAT.

El 2020 había sido el año más activo hasta el momento para los miembros TA558 con un total de 74 campañas identificadas. En lo que llevamos de 2022 ya van 51, lo que apunta a un aumento en el ritmo de estas campañas coincidiendo con el primer verano en el que apenas existen restricciones para los turistas desde el estallido de la pandemia de coronavirus.