Seyahat severler için yeni bir siber tehdit ortaya çıktı: sahte rezervasyon bağlantıları. Uzun süredir aktif olan TA558 kodlu siber suç grubu, pandemi döneminde azalan faaliyetlerine hız vererek, seyahat ve konaklama sektörünü hedef alan yeni bir kampanya başlattı. Proofpoint güvenlik araştırmacılarının raporuna göre, saldırganlar sahte rezervasyon e-postaları göndererek kurbanları kötü amaçlı bağlantılara tıklamaya teşvik ediyor. Bu bağlantılar, tıklandığında AsyncRAT, Loda ve Revenge RAT gibi çeşitli zararlı yazılımları sisteme bulaştırıyor.
Bu kampanyayı öncekilerden ayıran en önemli özellik, saldırganların e-postalara ISO ve RAR formatında sıkıştırılmış dosyalar eklemesi. Proofpoint raporuna göre, TA558 2022 yılında URL kullanımını artırdı ve bu URL'ler genellikle ISO veya ZIP (RAR) gibi konteyner dosyalarına yönlendiriyor. Kurban, bu dosyayı açtığında içindeki BAT dosyası çalışıyor ve bir PowerShell betiği aracılığıyla AsyncRAT gibi ikincil bir yük indiriliyor. Bu yöntem, Microsoft'un Office ürünlerinde makroları varsayılan olarak devre dışı bırakma kararından sonra saldırganların yeni bir taktiği olarak öne çıkıyor.
TA558 grubu, 2018'den bu yana özellikle Latin Amerika, Kuzey Amerika ve Batı Avrupa'daki seyahat ve konaklama firmalarını hedef alıyor. İlk dönemlerinde Microsoft Word'deki CVE-2017-11882 gibi güvenlik açıklarını kullanan grup, zamanla PowerPoint makroları ve şablon enjeksiyonları gibi yeni yöntemlere yöneldi. 2020'nin başlarında en yoğun dönemini yaşayan grup, sadece Ocak ayında 25 kampanya düzenledi. Saldırganların nihai hedefi ise finansal kazanç: çaldıkları verileri satarak veya doğrudan para transferi yaparak kâr elde etmek.
Gelecekte Ne Bekleniyor?
Proofpoint tehdit araştırmaları başkan yardımcısı Sherrod DeGrippo, TA558'in seyahat sektöründeki firmalar ve bu firmaların müşterileri için ciddi bir tehdit oluşturduğunu belirtiyor. Uzmanlar, özellikle Latin Amerika, Kuzey Amerika ve Batı Avrupa'da faaliyet gösteren seyahat ve konaklama firmalarının bu grubun taktiklerine karşı dikkatli olması ve gerekli önlemleri alması gerektiğini vurguluyor. Kullanıcıların ise tanımadıkları kaynaklardan gelen rezervasyon e-postalarındaki bağlantılara tıklamaması ve dosyaları açmaması önemle tavsiye ediliyor.