The Hacker News 網站披露，研究人員發現一個出于經濟動機的網絡犯罪集團，與針對拉丁美洲酒店和旅游機構的持續攻擊浪潮有關。經研究人員詳細分析后發現，其主要目的是在受感染的系統上安裝惡意軟件。

該犯罪團伙最早活躍可追溯到 2018 年 4 月，是一個小型犯罪威脅攻擊組織。一份報告中顯示，這個犯罪團伙自 2018 年以來，使用一致的戰術、技術和程序，試圖在受害者系統上，安裝包括 Loda RAT、Vjw0rm 和 Revenge RAT 等在內的各種惡意軟件。

直到 2022 年，TA558 網絡犯罪組織的行動節奏開始逐漸加快，入侵的主要對象是拉丁美洲的葡萄牙語和西班牙語使用者，在西歐和北美的入侵程度較低。

據悉，該組織發起的網絡釣魚活動包括發送帶有預訂主題誘餌的惡意垃圾郵件消息，例如包含武器化文檔或 URL 的酒店預訂，以誘使不知情的用戶安裝能夠偵察、數據盜竊和分發后續有效負載的木馬。

值得一提的是，多年來這些攻擊發生了微妙的演變，在 2018 年至 2021 年之間發現的攻擊活動，主要是利用包含 VBA 宏或 CVE-2017-11882 和 CVE-2017-8570 等漏洞的 Word 文檔的電子郵件下載和安裝混合惡意軟件，例如 AsyncRAT、Loda RAT、Revenge RAT 和 Vjw0rm等。

最近幾個月，研究人員觀察到 TA558 從包含宏的 Microsoft Office 附件轉向支持 URL 和 ISO 文件以實現初始感染，此舉可能是為了響應微軟決定在默認情況下阻止從 Web 下載的文件中的宏。

2022 年截止到目前為止，TA558 組織已經開展 51 次攻擊活動，其中有 27 次包含了指向 ISO 文件和 ZIP 檔案的 URL。相比之下，從 2018 年到 2021 年，總共只有 5 次類似活動。

Proofpoint 進一步指出，TA558 所記錄的入侵行為是其廣泛的惡意活動的一部分，重點是拉丁美洲地區的受害者。由于沒有任何入侵后的活動，有理由懷疑 TA558 是一個有經濟動機的網絡犯罪攻擊者。

最后，研究人員強調，TA558 組織使用的惡意軟件可以竊取酒店用戶的信用卡數據，允許橫向移動，并提供后續有效載荷。攻擊者進行網絡入侵活動可能導致公司和客戶的數據被盜，以及其它潛在的財務損失。