El grupo de amenazas TA558, conocido por atacar a las industrias de viajes y hospitalidad, ha intensificado sus actividades maliciosas. Tras una pausa en su actividad, probablemente relacionada con las restricciones de viaje por la COVID-19, TA558 ha reactivado sus campañas. Estas campañas se centran en el envío de correos electrónicos falsos relacionados con reservas, que contienen enlaces maliciosos.

Los investigadores de seguridad advierten sobre la renovación de las campañas de TA558, que recuerdan a las de 2018. Estos ataques se aprovechan del aumento de las reservas de aerolíneas y hoteles, utilizando enlaces que, al hacer clic, descargan malware. La evolución de las tácticas de TA558 demuestra una adaptación constante a las medidas de seguridad y a las tendencias de la industria.

Una característica distintiva de las campañas más recientes de TA558 es el uso de archivos adjuntos RAR e ISO. Estos archivos comprimidos, al ser ejecutados, descomprimen datos y carpetas que contienen el malware. Proofpoint reportó que "TA558 comenzó a usar URL con más frecuencia en 2022", llevando a archivos contenedores como ISOs o archivos ZIP que contienen ejecutables.

Para infectar un sistema, la víctima debe descomprimir el archivo adjunto. Un enlace de reserva, por ejemplo, podría llevar a un archivo ISO con un archivo batch que ejecuta un script de PowerShell, descargando AsyncRAT. Este cambio en la metodología es una respuesta a las medidas de seguridad implementadas por Microsoft.

Las campañas anteriores de TA558, rastreadas por Palo Alto Networks (2018), Cisco Talos (2020 y 2021) y Uptycs (2020), utilizaban documentos maliciosos de Microsoft Word (CVE-2017-11882) o plantillas remotas para descargar malware. La transición a archivos ISO y RAR se debe a las actualizaciones de Microsoft que deshabilitan las macros de forma predeterminada.

En 2022, la frecuencia de las campañas aumentó significativamente, distribuyendo malware como Loda, Revenge RAT y AsyncRAT. Sherrod DeGrippo, vicepresidente de investigación y detección de amenazas en Proofpoint, enfatiza que TA558 tiene una motivación financiera y utiliza datos robados para obtener ganancias.

Desde 2018, TA558 ha centrado sus ataques en empresas del sector de viajes, hotelería e industrias relacionadas, principalmente en Latinoamérica, aunque también en Norteamérica y Europa Occidental. Utilizan correos electrónicos con ingeniería social, escritos en español o portugués, que simulan ser reservas de hotel.

En sus inicios, el grupo explotaba vulnerabilidades en el Editor de Ecuaciones de Microsoft Word (CVE-2017-11882) para descargar RATs como Loda o Revenge RAT. En 2019, expandieron su arsenal con adjuntos maliciosos de PowerPoint y plantillas de inyección, incluyendo por primera vez señuelos en inglés. El periodo más prolífico de TA558 fue a principios de 2020, con 25 campañas maliciosas solo en enero.

Los investigadores aconsejan a las organizaciones, especialmente aquellas que operan en los sectores objetivo en Latinoamérica, Norteamérica y Europa Occidental, que estén al tanto de las tácticas, técnicas y procedimientos de TA558. La seguridad de los datos de los clientes y de la propia organización se ve comprometida por este tipo de amenazas.

Las organizaciones deben implementar medidas de seguridad robustas, como la verificación de la autenticidad de los correos electrónicos y enlaces, la actualización constante de software y la capacitación del personal en ciberseguridad. La vigilancia y la prevención son clave para protegerse contra los ataques de TA558 y otros grupos de amenazas.