Cyberthreat.id – Peneliti keamanan dari Proofpoint mengungkapkan, peretas yang sebagai TA558 telah meningkatkan aktivitas mereka tahun ini dengan menjalankan kampanye phishing yang menargetkan beberapa hotel dan perusahaan di bidang perhotelan dan perjalanan.

TA558 telah aktif setidaknya sejak 2018, tetapi Proofpoint baru-baru ini melihat peningkatan dalam aktivitasnya, mungkin terkait dengan pulihnya pariwisata setelah dua tahun terjadi pembatasan karena COVID-19.

Dikutip dari Bleeping Computer, menurut peneliti, pelaku ancaman ini menggunakan satu set 15 keluarga malware yang berbeda. Mereka menggunakan trojan akses jarak jauh (RAT), untuk mendapatkan akses ke sistem target, melakukan pengawasan, mencuri data kunci, dan akhirnya menyedot uang dari pelanggan.

Peneliti mengatakan, pada tahun 2022, TA558 beralih dari menggunakan dokumen makro dalam email phishingnya dan mengadopsi lampiran file RAR dan ISO atau URL yang disematkan dalam pesan.

Perubahan serupa telah terlihat dengan aktor ancaman lainnya sebagai tanggapan atas keputusan Microsoft untuk memblokir makro VBA dan XL4 di Office, yang secara historis digunakan peretas untuk memuat, menjatuhkan, dan menginstal malware melalui dokumen berbahaya.

Email phishing yang memulai rantai infeksi ditulis dalam bahasa Inggris, Spanyol, dan Portugis, menargetkan perusahaan di Amerika Utara, Eropa Barat, dan Amerika Latin. Sedangkan, topik email berkisar pada membuat pemesanan pada organisasi target, berpura-pura datang dari penyelenggara konferensi, agen kantor pariwisata, dan sumber lain yang tidak dapat dengan mudah diabaikan oleh penerima.

“Korban yang mengklik URL di badan pesan, yang dimaksudkan sebagai tautan reservasi, akan menerima file ISO dari sumber daya jarak jauh,” kata peneliti Proofpoint.

Peneliti menyebutkan, arsip berisi file batch yang meluncurkan skrip PowerShell yang akhirnya menjatuhkan muatan RAT ke komputer korban dan membuat tugas terjadwal. Bahkan, Dalam sebagian besar kasus yang diamati Proofpoint tahun ini, muatannya adalah AsyncRAT atau Loda, sementara Revenge RAT, XtremeRAT, CaptureTela, dan BluStealer juga digunakan dalam skala yang lebih kecil. Misalnya, satu kampanye 2022 menggunakan umpan faktur QuickBooks alih-alih reservasi kamar dan menjatuhkan Revenge RAT secara eksklusif.

“Dengan memiliki sistem hotel yang dikompromikan dengan malware RAT, TA558 bergerak lebih dalam ke jaringan untuk mencuri data pelanggan, menyimpan detail kartu kredit, dan memodifikasi situs web yang menghadap klien untuk mengalihkan pembayaran reservasi,” tambah peneliti Proofpoint.

Sebelumnya, pada Juli 2022, The Marino Boutique Hotel di Lisbon, Portugal, akun Booking.com-nya diretas, dan penyusup itu mencuri €500.000 dalam empat hari dari pelanggan yang tidak menaruh curiga yang membayar untuk memesan kamar.

Sementara itu keterlibatan TA558, dalam kasus itu, tidak terbukti, itu cocok dengan TTP dan cakupan penargetan aktor ancaman dan setidaknya memberikan contoh bagaimana mereka dapat memonetisasi akses mereka ke sistem hotel.

Cara lain bagi TA558 untuk menghasilkan uang adalah dengan menjual atau menggunakan detail kartu kredit yang dicuri, menjual PII klien, memeras individu yang memiliki minat tinggi, atau menjual akses ke jaringan hotel yang disusupi ke geng ransomware