El actor de amenaza, conocido como el TA558, se atribuye a un nuevo conjunto de ataques que ofrecen una variedad de troyanos de acceso remoto (ratas), como Venom Rat, para vencer a los hoteles en Brasil y los mercados de habla española.
El proveedor de ciberseguridad ruso Kaspersky rastreará las actividades observadas en el verano de 2025 y las rastreará como Revengehotels.
«Los actores de amenaza continuarán adoptando correos electrónicos de phishing con temas con temas de facturas para proporcionar implantes de ratas venenosas a través de JavaScript Loaders y PowerShell Descargers», dijo la compañía. «Parece que la mayor parte del código inicial de infectores y descargadores para esta campaña está siendo generado por agentes del Modelo de Lengua a gran escala (LLM)».
Los hallazgos muestran nuevas tendencias entre los grupos cibercriminales, aprovechando la inteligencia artificial (IA) para mejorar el comercio.
Se sabe que está activo desde al menos 2015, RevengeHotels tiene un historial de hospitalidad latinoamericana, hoteles y organizaciones de viajes con el objetivo de instalar malware en sistemas comprometidos.
Resulta que la repetición temprana de las campañas de actores de amenazas distribuirá correos electrónicos con palabras creadas, Excel o documentos PDF adjuntos. Algunos de ellos también se denominan COCC para Nanocorerat, Nanocorerat y 888 Rat, explotando una falla de ejecución de código remoto conocido en Microsoft Office (CVE-2017-0199).
Documentado con PROULTPOIN y tecnología positiva, las campañas posteriores demuestran la capacidad de los actores de amenaza para refinar sus cadenas de ataque para proporcionar una amplia gama de ratas, incluidos el Agente Tesla, Asyncrat, Formbook, Guloader, Loda Rat, Lokibot, REMCOS RAT, Snake Keylogger y VJW0RM.
El objetivo principal del ataque es capturar datos de tarjetas de crédito almacenados en sistemas hoteleros de invitados y viajeros, así como datos de tarjetas de crédito recibidos de agentes de viajes en línea populares (OTA), como Booking.com.
Según Kaspersky, de acuerdo con la última campaña, puede descargar la carga útil de Wscript JavaScript enviando un correo electrónico de phishing escrito en la reserva de su hotel y la solicitud de empleo en portugués y español, haciendo clic en el enlace fraudulento para los destinatarios.
«Los scripts parecen ser generados por un modelo de lenguaje grande (LLM) para probar en un formato similar al código generado por este tipo de tecnología y comentarios similares y código similar», dijo la compañía. «La función principal del script es cargar scripts posteriores que promuevan la infección».
Esto incluye los guiones de PowerShell. Esto implica obtener un descargador llamado «Cargajecerrr.txt» de un servidor externo y ejecutarlo a través de PowerShell. Como su nombre indica, el descargador obtiene dos cargas útiles adicionales. Este es el cargador responsable de lanzar el malware de rata Venom.
Basado en la rata Quásar de código abierto, Venom Rat es una herramienta comercial ofrecida por $ 650 por una licencia de por vida. Una suscripción de un mes para el malware de la banda con componentes HVNC y Steeler es de $ 350.
El malware tiene un mecanismo de prevención de matar para equipar los datos en el sifón, actuar como un proxy inverso y asegurarse de que funcione ininterrumpido. Para lograr esto, modifique la lista de control de acceso discrecional (DACL) asociada con el proceso de ejecución para eliminar cualquier permiso que pueda interferir con la funcionalidad y terminar el proceso de ejecución que coincida con el proceso codificado.
«El segundo componente de esta medición anti-mata incluye hilos que ejecutan bucles continuos, y cada 50 milisegundos observamos la lista de procesos de ejecución», dice Kaspersky.
«Los bucles específicamente se dirigen a procesos comúnmente utilizados por analistas de seguridad y administradores de sistemas: monitoree la actividad del host y analice los binarios de .NET.
La función Kill Anti-Kill también presenta la capacidad de configurar la persistencia en el host utilizando los cambios en el registro de Windows, reinseyendo el malware siempre que los procesos asociados no estén en la lista de procesos de ejecución.
Si el malware se ejecuta con privilegios avanzados, configure un token SedebugPivilege para marcarlo como un proceso crítico del sistema, lo que permite que dure incluso si está tratando de terminar el proceso. También obliga a la computadora a mantener su pantalla y evita que ingrese al modo de suspensión.
Finalmente, los artefactos de rata de veneno incorporan la capacidad de extenderse a través de una unidad USB extraíble, terminando los procesos relacionados con el antivirus defensor de Microsoft, alterando el programador de tareas y el registro para deshabilitar los programas de seguridad.
«RevengeHotels ha fortalecido significativamente sus capacidades y ha desarrollado nuevas tácticas dirigidas al sector de la hospitalidad y el turismo», dijo Kaspersky. «Con el apoyo de los agentes de LLM, el grupo pudo generar y modificar los relajados de los peces y expandir el ataque a nuevas regiones».
Source link
