Uma nova onda de ciberataques a hotéis foi identificada no Brasil, entre outros países da América Latina. A Kaspersky relacionou as táticas de um agente malicioso com longo histórico de atuação, o TA558 (RevengeHotels).
Desde pelo menos 2015, o grupo tem como alvo sistemas de hospedagem em busca de dados de cartões de crédito de clientes, com destaque para o Booking.com, um serviço amplamente utilizado por brasileiros.
Nos incidentes mais recentes, o agente malicioso utilizou trojans de acesso remoto, também conhecidos pela sigla em inglês “RAT”, para garantir o controle dos sistemas infectados. Como de costume, a distribuição dos malwares ocorre por meio de emails fraudulentos de recibos — o tradicional método de “phishing”, que busca “fisgar” vítimas por meio de comunicações enganosas. Uma vez executado o arquivo malicioso, ele instala os softwares necessários para o golpe utilizando JavaScript e PowerShell.
Curiosamente, os novos ataques também incorporam um elemento incomum: o uso de inteligência artificial para escrever os códigos maliciosos. O malware Venom RAT, destaque entre os últimos incidentes, teve boa parte de sua programação feita por um agente de Grande Modelo de Linguagem (LLM), como o ChatGPT, conforme aponta a análise da Kaspersky.
Entre as evidências de uso de IA no desenvolvimento do código, estão:
- Trechos com maior clareza e organização, tornando a leitura mais direta.
- Inclusão de placeholders, que permitem a inserção de variáveis ou conteúdos específicos pelo autor.
- Comentários explicativos que detalham a maioria das operações realizadas pelo código.
- Pouca ou nenhuma ofuscação, destacando-se em contraste com o restante do código malicioso.
Como o malware Venom RAT opera no computador das vítimas?
Apesar de ser comumente associado ao amadorismo, a programação feita por IA não diminuiu a eficácia do Venom RAT. Parte disso se dá pela base utilizada para seu desenvolvimento, o malware de código-aberto Quasar RAT, que possui ‘licença vitalícia’ comercializada por US$ 650 – cerca de R$ 3450, em conversão direta. Justamente pela natureza transparente, o material fonte pode ser melhorado e personalizado pela comunidade, etapa em que as IAs tendem a facilitar.
O Venom RAT é capaz de roubar dados, servir como um ponto de conexão remoto, e oferece resistência a eliminações. Para isso, seu código elimina qualquer outro processo que pode interferir em seu funcionamento, incluindo os relacionados a programas utilizados por profissionais de segurança. A busca por esses processos ocorre a cada 50 milissegundos, e a eliminação dos “alvos” ocorre sem alertar o usuário.
Quando é executado com privilégios de administrador, o malware habilita permissões avançadas e se identifica como um processo essencial do sistema. Com isso, torna-se mais difícil de ser encerrado manualmente e mantém o computador ativo, impedindo que a tela desligue ou que o equipamento entre em modo de suspensão.
O Venom RAT ainda conta com ferramentas para se propagar através de dispositivos USB. Ele consegue interromper a execução do Microsoft Defender Antivirus e realizar alterações no Registro do Windows e no Agendador de Tarefas, visando desativar ou comprometer recursos de segurança do sistema operacional.
Ataques anteriores do TA558, RevengeHotels
No passado, o RevengeHotels (TA558) possuía táticas alternativas de operação, embora seguissem parâmetros similares ao caso do Venom RAT. Os ataques utilizavam métodos de phishing para entregar documentos de Excel ou Word, além de PDFs, com códigos maliciosos.
Em um dos incidentes, categorizado como CVE-2017-0199, uma falha do Microsoft Office era explorada para potencializar a eficácia da abordagem, permitindo a instalação de inúmeros outros malwares – Revenge RAT, NjRAT, NanoCoreRAT e 888 RAT, além do personalizado ProCC.
Como se proteger do Venom RAT e outros trojans de acesso remoto
Para se proteger de ameaças como o Venom RAT, é essencial redobrar a atenção com e-mails e arquivos recebidos. Evite abrir links ou anexos suspeitos, mesmo que pareçam provenientes de remetentes confiáveis. Prefira sempre confirmar a autenticidade de mensagens antes de executar qualquer arquivo, observando remetente, conteúdo e formato do documento.
Outro ponto importante é o cuidado com permissões e configurações do sistema. Malwares desse tipo podem solicitar acessos desnecessários ou explorar vulnerabilidades para se manter ativos e controlar o computador remotamente. Por isso, revise regularmente as permissões de programas instalados e restrinja privilégios apenas a softwares confiáveis.
- Além disso, adotar boas práticas de segurança digital ajuda a reduzir riscos:
- Desconfie de e-mails que solicitem ações urgentes ou que tentem se passar por comprovantes de pagamento ou reservas;
- Não clique em links suspeitos nem execute arquivos desconhecidos;
- Mantenha o antivírus atualizado e considere o uso de ferramentas de detecção adicionais;
- Ative recursos de proteção do sistema, como bloqueios e controles de contas de usuário;
- Em caso de suspeita de infecção, desconecte o computador da internet e busque suporte especializado para análise e remoção do malware.
Já passou por algo similar ou conhece alguém que já caiu nesse tipo de golpe? Nos conte nas redes sociais do TecMundo!
Fonte ==> TecMundo
