VNR Content
Pearl
Ngành du lịch đang dần phục hồi sau 2 năm bị hạn chế bởi dịch bệnh Covid-19, đây cũng là thời điểm các tin tặc hoạt động mạnh trở lại nhắm mục tiêu vào các khách sạn và công ty trong lĩnh vực du lịch. TA558 là cái tên được chú ý với các chiến dịch lừa đảo sử dụng tới 15 phần mềm độc hại (thường là trojan truy cập từ xa RAT) để truy cập vào hệ thống của nạn nhân và thực hiện giám sát, đánh cắp dữ liệu, tống tiền khách hàng. TA558 đang sử dụng các tệp đính kèm RAR và ISO hoặc các URL được nhúng trong các email lừa đảo viết bằng tiếng Anh, tiếng Tây Ban Nha và tiếng Bồ Đào Nha, nhắmcc mục tiêu đến các công ty ở Bắc Mỹ, Tây Âu và Mỹ Latinh.
Tin tặc mạo danh các công ty du lịch gửi các email xoay quanh việc đặt phòng cho nạn nhân. Khi nạn nhân nhấp vào link liên kết trong email sẽ nhận được một tệp ISO và khởi chạy tập lệnh PowerShell sau đó tải RAT về máy tính. Khi hệ thống khách sạn bị tấn công với phần mềm độc hại RAT, TA558 sẽ truy cập vào mạng để lấy cắp dữ liệu khách hàng và thông tin thẻ tín dụng. Hacker sửa đổi các trang web dành cho khách hàng để chuyển hướng thanh toán đặt phòng. Tháng 7/2022, tài khoản Booking.com của khách sạn Marino Boutique ở Lisbon, Bồ Đào Nha đã bị tấn công. Hacker đã lừa các khách hàng trả tiền đặt phòng và thu được 500.000 euro chỉ trong 4 ngày. Mặc dù không chứng minh được TA558 tham gia vào vụ tấn công trên, nhưng mọi hành vi của hacker và phạm vi nhắm mục tiêu trong vụ việc đều cho thấy rất giống cách mà TA558 kiếm tiền từ việc chiếm quyền truy cập vào hệ thống khách sạn. Các cách khác để TA558 kiếm tiền là bán hoặc sử dụng thông tin thẻ tín dụng bị đánh cắp, bán thông tin của khách hàng, tống tiền các cá nhân hoặc bán quyền truy cập vào mạng của khách sạn bị xâm nhập cho các băng đảng ransomware.
