Uma nova onda de ciberataques a hotéis foi identificada no Brasil, entre outros países da América Latina. Os últimos recentes foram observados e reportados pela Kaspersky, que relacionou as táticas e procedimentos utilizados a um agente malicioso com longo histórico de atuação, TA558 – RevengeHotels. Pelo menos desde 2015, o grupo visa sistemas de hospedagem em busca de cartões de créditos dos clientes.
Nos últimos incidentes, o agente malicioso utilizou trojans de acesso remoto, também conhecidos pela sigla em inglês “RAT”, para garantir o controle dos sistemas infectados. Como de costume, a distribuição dos malwares foi realizada a partir de e-mails enganosos de recibos – o tradicional método de “phishing”, que tenta “pescar” vítimas em meios fraudados de comunicação. Uma vez que o arquivo malicioso é executado no sistema, ele instala os softwares necessários para o golpe através de JavaScript e PowerShell.
Curiosamente, os novos ataques também incorporam um elemento incomum: o uso de inteligência artificial para escrever os códigos maliciosos. O malware Venom RAT, destaque entre os últimos incidentes, teve boa parte de sua programação feita por um agente de Grande Modelo de Linguagem (LLM), como o ChatGPT, conforme aponta a análise da Kaspersky.
Entre as evidências de uso de IA no desenvolvimento do código, estão:
- Trechos com maior clareza e organização, tornando a leitura mais direta.
- Inclusão de placeholders, que permitem a inserção de variáveis ou conteúdos específicos pelo autor.
- Comentários explicativos que detalham a maioria das operações realizadas pelo código.
- Pouca ou nenhuma ofuscação, destacando-se em contraste com o restante do código malicioso.
Como o malware Venom RAT opera no computador das vítimas?
Apesar de ser comumente associado ao amadorismo, a programação feita por IA não diminuiu a eficácia do Venom RAT. Parte disso se dá pela base utilizada para seu desenvolvimento, o malware de código-aberto Quasar RAT, que possui ‘licença vitalícia’ comercializada por US$ 650 – cerca de R$ 3450, em conversão direta. Justamente pela natureza transparente, o material fonte pode ser melhorado e personalizado pela comunidade, etapa em que as IAs tendem a facilitar.
O Venom RAT é capaz de roubar dados, servir como um ponto de conexão remoto, e oferece resistência a eliminações. Para isso, seu código elimina qualquer outro processo que pode interferir em seu funcionamento, incluindo os relacionados a programas utilizados por profissionais de segurança. A busca por esses processos ocorre a cada 50 milissegundos, e a eliminação dos “alvos” ocorre sem alertar o usuário.
Quando é executado com privilégios de administrador, o malware habilita permissões avançadas e se identifica como um processo essencial do sistema. Com isso, torna-se mais difícil de ser encerrado manualmente e mantém o computador ativo, impedindo que a tela desligue ou que o equipamento entre em modo de suspensão.
O Venom RAT ainda conta com ferramentas para se propagar através de dispositivos USB. Ele consegue interromper a execução do Microsoft Defender Antivirus e realizar alterações no Registro do Windows e no Agendador de Tarefas, visando desativar ou comprometer recursos de segurança do sistema operacional.
Ataques anteriores do TA558, RevengeHotels
No passado, o RevengeHotels (TA558) possuía táticas alternativas de operação, embora seguissem parâmetros similares ao caso do Venom RAT. Os ataques utilizavam métodos de phishing para entregar documentos de Excel ou Word, além de PDFs, com códigos maliciosos.
Em um dos incidentes, categorizado como CVE-2017-0199, uma falha do Microsoft Office era explorada para potencializar a eficácia da abordagem, permitindo a instalação de inúmeros outros malwares – Revenge RAT, NjRAT, NanoCoreRAT e 888 RAT, além do personalizado ProCC.