Seyahat Tutkunlarına Sahte Rezervasyon Linkleriyle Tuzağa Düşüren Yeni Tehdit: TA558 Siber Güvenlik

Seyahat Tutkunlarına Sahte Rezervasyon Linkleriyle Tuzağa Düşüren Yeni Tehdit: TA558

TA558 siber suç grubu, sahte rezervasyon e-postalarıyla yorgun yolcuları hedef alıyor. ISO ve RAR dosyaları içindeki kötü amaçlı yazılımlar, AsyncRAT

Seyahat edenler için kabus haline gelen uçuş iptalleri ve otel rezervasyon sorunları, şimdi de siber saldırganların yeni bir yöntemiyle daha da karmaşık hale geliyor. Uzun süredir aktif olan TA558 tehdit grubu, COVID-19 kısıtlamalarının ardından seyahatlerin artmasıyla birlikte yeniden harekete geçti. Güvenlik araştırmacıları, bu grubun 2018'deki kampanyalarını güncellediğini ve sahte rezervasyon e-postalarıyla kullanıcıları tuzağa düşürdüğünü belirtiyor. E-postalardaki bağlantılara tıklayanlar, çeşitli kötü amaçlı yazılımlarla karşılaşıyor.

Proofpoint tarafından yapılan araştırmaya göre, TA558'in bu son kampanyasını farklı kılan şey, mesajlara eklenen RAR ve ISO dosyaları. Bu dosyalar, çalıştırıldığında içlerindeki verileri açan sıkıştırılmış dosyalar. Araştırmacılar, "Rezervasyon bağlantısı bir ISO dosyasına ve gömülü bir toplu iş dosyasına yönlendiriyor. BAT dosyasının çalıştırılması, bir PowerShell yardımcı betiğini tetikleyerek AsyncRAT adlı bir yük indiriyor" diyor. Hedef kurbanın bu dosyayı açması ve enfekte olması için kandırılması gerekiyor.

TA558, geçmişte Microsoft Word belgelerindeki güvenlik açıklarını (CVE-2017-11882) kullanırken, artık ISO ve RAR dosyalarına yönelmesinin nedeni, Microsoft'un 2021-2022'de Office ürünlerinde makroları varsayılan olarak devre dışı bırakma kararı. Bu değişiklikle birlikte grup, kampanya hızını artırarak Loda, Revenge RAT ve AsyncRAT gibi uzaktan erişim truva atlarını (RAT) yaymaya başladı. Proofpoint, bu RAT'ların keşif, veri hırsızlığı ve ek yüklerin dağıtımını sağlayabildiğini vurguluyor.

Tüm evrimlerine rağmen TA558'in hedefi aynı kaldı: Finansal kazanç. Proofpoint tehdit araştırma başkan yardımcısı Sherrod DeGrippo, "Grubun orta ila yüksek güvenle finansal motivasyonlu olduğunu düşünüyoruz. Çalınan verileri ölçeklendirerek para çalmak için kullanıyorlar. Olabilecek ihlaller hem seyahat sektöründeki kuruluşları hem de tatil için bu hizmetleri kullanan müşterileri etkileyebilir" diyor. Araştırmacılar, özellikle Latin Amerika, Kuzey Amerika ve Batı Avrupa'da faaliyet gösteren kuruluşların bu grubun taktiklerine karşı dikkatli olmasını ve önlem almasını öneriyor.

Paylaş: