虚假预订链接瞄准疲惫旅客 | Threatpost

虚假旅行预订正给本已因航班取消和酒店超售而疲惫不堪的旅客带来更多痛苦。

一个长期活跃的威胁组织TA558加大了对旅行和酒店行业的攻击力度。在因COVID相关旅行限制而活动沉寂后，该威胁组织利用旅行及相关机票酒店预订量的上升，加大了攻击活动。

安全研究人员发出警告，称TA558网络犯罪分子已改进了其2018年的攻击活动，通过包含链接的虚假预订电子邮件——如果点击——会传递包含多种恶意软件变体的恶意负载。

根据Proofpoint的报告，这次最新活动的独特之处在于使用了与消息链接的RAR和ISO文件附件。ISO和RAR是单个压缩文件，如果执行，会解压缩其中的文件和文件夹数据。

“TA558在2022年开始更频繁地使用URL。TA558在2022年进行了27次使用URL的活动，而2018年至2021年总共只有五次活动。通常，URL指向容器文件，如ISO或zip [RAR]文件，其中包含可执行文件，”Proofpoint写道。

要感染，目标受害者需要被诱骗解压缩文件归档。“预订链接…指向一个ISO文件和一个嵌入的批处理文件。执行BAT文件会导致一个PowerShell辅助脚本下载后续负载AsyncRAT，”研究人员写道。

升级您的行程至恶意软件感染状态

根据Proofpoint，过去的TA558活动，由Palo Alto Networks（2018年）、Cisco Talos（2020年和2021年）和Uptycs（2020年）跟踪，利用了恶意的Microsoft Word文档附件（CVE-2017-11882）或远程模板URL来下载和安装恶意软件。

转向ISO和RAR文件“可能是由于微软在2021年底和2022年初宣布在Office产品中默认禁用宏[VBA和XL4]，”研究人员说。

“在2022年，活动节奏显著增加。活动传递了多种恶意软件，如Loda、Revenge RAT和AsyncRAT。这个参与者使用了多种传递机制，包括URL、RAR附件、ISO附件和Office文档，”研究人员写道。

Proofpoint表示，近期活动的恶意软件负载通常包括远程访问木马（RAT），可以实现侦察、数据盗窃和分发后续负载。

尽管经历了所有演变，该组织的目标始终如一。分析师以“中到高置信度”得出结论，TA558是出于经济动机，使用被盗数据来扩大规模并窃取资金。“其可能的妥协可能影响旅游行业的组织以及可能使用它们度假的客户，”Proofpoint威胁研究和检测组织副总裁Sherrod DeGrippo在一份声明中写道。“这些及相关行业的组织应意识到这个参与者的活动，并采取预防措施保护自己。”

TA558的历史

至少自2018年以来，TA558主要针对旅游、酒店及相关行业的组织。这些组织往往位于拉丁美洲，有时在北美或西欧。

在整个历史中，TA558使用社会工程电子邮件诱使受害者点击恶意链接或文档。这些电子邮件——最常用葡萄牙语或西班牙语书写——通常声称涉及酒店预订。主题行或附件名称通常是简单的“reserva”。

在早期利用中，该组织会利用Microsoft Word Equation Editor中的漏洞——例如，CVE-2017-11882，一个远程代码执行错误。目标是下载一个RAT——最常见的是Loda或Revenge RAT——到目标机器。

2019年，该组织扩展了其武器库，使用恶意的宏 laden Powerpoint附件和对Office文档的模板注入。他们还扩展到新的人口统计，首次使用英语网络钓鱼诱饵。

2020年初是TA558最多产的时期，仅在一月份就推出了25次恶意活动。在此期间，他们主要使用宏 laden Office文档，或针对已知的Office漏洞。

“组织，尤其是在拉丁美洲、北美和西欧目标行业运营的组织，应意识到这个参与者的战术、技术和程序，”研究人员建议。