# TA558 > [!danger] TA558 - Principal Ameaça ao Setor de Hospitalidade e Turismo LATAM > TA558 e o grupo mais focado em **hotelaria, turismo e transporte na América Latina** dentre todos os atores rastreados. Ativo desde abril de 2018, o grupo conduziu **51 campanhas documentadas em 2022** com lures em portugues e espanhol sobre reservas de hotel, itinerarios de viagem e tarifas aereas. Especialidade: **roubo de cartoes de credito e credenciais de sistemas de reserva hoteleira** (Oracle Hospitality, Amadeus, Sabre GDS). ## Visão Geral TA558 e um grupo de ameaça financeiramente motivado, ativo desde pelo menos abril de 2018, com foco quase exclusivo no setor de hospitalidade e turismo na América Latina e América do Norte. A Proofpoint e a Cisco Talos documentaram o grupo em campanhas de alta frequência usando tematica de reservas de hotel, confirmacoes de voo e orcamentos de viagem corporativa em **portugues e espanhol** - evidência clara de que o grupo opera com profundo conhecimento do mercado LATAM. O modelo de operação e direto: o grupo **se passa por empresas de turismo, agencias de viagem e hoteis reais** para enganar funcionarios de hotelaria a abrir arquivos maliciosos. O objetivo final e o roubo de credenciais de sistemas de gestao hoteleira (PMS), terminais de pagamento (POS) e plataformas de reserva global (GDS) - permitindo roubos de cartao de credito em escala. Em 2022, o grupo conduziu mais de 51 campanhas distintas - uma das maiores frequências de ataque focado em setor específico documentada em qualquer grupo. Após 2022, o grupo migrou de macros Office (bloqueadas por padrao pela Microsoft) para arquivos **ISO, RAR, URLs diretas e arquivos LNK** como vetores de entrega, demonstrando adaptacao rapida a mudanças de plataforma. ## Distribuição de Alvos por Regiao ```mermaid pie title Alvos por Regiao - Campanha 2022 "America Latina (PT/ES)" : 65 "America do Norte (EN)" : 25 "Europa Ocidental" : 10 ``` ## Attack Flow - Fraude em Hospitalidade ```mermaid graph TB A["Email Lure<br/>Reserva hotel / itinerario<br/>em portugues ou espanhol"] --> B["Entrega Maliciosa<br/>ISO / RAR / LNK<br/>pos-2022 sem macro"] B --> C["Execução RAT<br/>AsyncRAT / Loda / Remcos<br/>obfuscado via PowerShell"] C --> D["Persistência<br/>Registry run key<br/>ou scheduled task"] D --> E["Credential Harvest<br/>Keylog + browser steal<br/>sistemas de reserva PMS"] E --> F["Exfiltração<br/>Cartoes de credito<br/>credenciais GDS/POS"] classDef email fill:#34495e,color:#fff,stroke:#2c3e50 classDef entrega fill:#c0392b,color:#fff,stroke:#922b21 classDef exec fill:#e67e22,color:#fff,stroke:#d35400 classDef persist fill:#8e44ad,color:#fff,stroke:#6c3483 classDef harvest fill:#1a5276,color:#fff,stroke:#154360 classDef exfil fill:#196f3d,color:#fff,stroke:#145a32 class A email class B entrega class C exec class D persist class E harvest class F exfil ``` ## Evolução do Vetor de Entrega | Período | Vetor Principal | Payload | | ------- | --------------- | ------- | | 2018-2021 | Macro Office (Word/Excel) | Loda RAT, Revenge RAT | | 2022 | ISO + LNK + batch scripts | AsyncRAT, njRAT, Vjw0rm | | 2023-2024 | URLs diretas + RAR | AsyncRAT, Agent Tesla, Remcos | | 2025 | Phishing de credenciais + ISO | AsyncRAT, WarzoneRAT | ## Arsenal de RATs - Flexibilidade Operacional TA558 e notorio por operar **mais de 15 familias de RATs** diferentes em suas campanhas - uma das maiores diversidades de malware por grupo registrada. A estratégia parece ser de redundancia: se uma ferramenta e detectada/bloqueada, o grupo troca para outra sem interrupcao operacional. **RATs confirmados:** - [[s1087-asyncrat|AsyncRAT]] - favorito desde 2022 - [[lodar|Loda]] - RAT AutoIt, inicial no grupo - [[s0379-revenge-rat|Revenge RAT]] - usado em campanhas LATAM 2018-2022 - [[s0385-njrat|njRAT]] - ampla distribuição no underground LATAM - [[vjw0rm|Vjw0rm]] - JavaScript RAT, evasão de AV - [[s0670-warzonerat|WarzoneRAT]] - acesso remoto completo - [[s0331-agent-tesla|Agent Tesla]] - keylogger + infostealer - [[s0332-remcos|Remcos]] - RAT comercial agressivo - [[s0336-nanocore|NanoCore]] - RAT .NET modular ## Técnicas Utilizadas - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1036-masquerading|T1036 - Masquerading]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1539-steal-web-session-cookie|T1539 - Steal Web Session Cookie]] - [[t1555-003-credentials-from-web-browsers|T1555.003 - Credentials from Web Browsers]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] ## Software Utilizado - [[s1087-asyncrat|AsyncRAT]] - [[lodar|Loda]] - [[s0379-revenge-rat|Revenge RAT]] - [[s0385-njrat|njRAT]] - [[vjw0rm|Vjw0rm]] - [[s0670-warzonerat|WarzoneRAT]] - [[s0331-agent-tesla|Agent Tesla]] - [[s0332-remcos|Remcos]] - [[s0336-nanocore|NanoCore]] ## Relevância para o Brasil e LATAM > [!danger] Ameaça Direta ao Setor Hoteleiro e Turismo Brasileiro > TA558 e uma das **ameaças mais diretas e documentadas ao Brasil** nesta lista. O grupo usa ativamente lures em **portugues brasileiro**, demonstrando conhecimento específico do mercado. Cadeias hoteleiras (Grupo Wish, Rede Bourbon, Accor Brasil, Marriott/Sheraton Brasil), agencias de turismo (CVC, Decolar.com), companhias aereas (LATAM, Azul, Gol) e plataformas de OTA (Booking.com Brasil, Airbnb BR) estao no perfil exato de alvos. O impacto potencial e severo: comprometimento de sistemas PMS (Oracle OPERA, Totvs Hospitality) permite acesso a milhares de números de cartao de credito de hospedes. Credenciais de plataformas GDS (Amadeus, Sabre, Travelport) permitem fraudes em reservas em escala global. **Indicadores de risco:** emails sobre confirmacoes de reserva, orcamentos de grupo, contratos de evento - especialmente com arquivos ISO ou RAR anexos, ou links para download fora do dominio oficial do remetente. --- *Fontes: [Proofpoint TA558 2022](https://www.proofpoint.com/us/blog/threat-insight/reservations-requested-ta558-targets-hospitality-and-travel) | [Cisco Talos TA558](https://blog.talosintelligence.com/ta558-targets-latam/) | [ESET TA558 LATAM](https://www.welivesecurity.com/la-es/2023/06/09/heatstroke-campana-phishing-multietapas-robar-informacion-bancaria/)*