AI ще ви помогне да проникнете във всеки хотел в света. Цената е само $650
Групата TA558 още веднъж излиза на лов, като този път е въоръжена с изкуствен интелект. Според Kaspersky Lab през летните месеци на 2025 година членовете на клъстера RevengeHotels са атакували хотели в Бразилия и испаноговорящите страни, като са разпространявали троянските коне RAT, в това число Venom RAT. Експертите означават, че огромна част от даунлоудърите и спомагателния код в новите офанзиви са основани благодарение на LLM сътрудници.
Престъпниците не престават да разчитат на фишинг имейли с тематики за фактуриране и резервации, които доставят JavaScript скриптове и PowerShell зареждащи стратегии. Компонентите подзареждат спомагателни модули и в последна сметка започват Venom RAT. Имейлите се изпращат на португалски и испански език, като измежду примамките са както заявки за работа, по този начин и подправени вести за резервации.
Първият скрипт е написан в жанр, присъщ за генерирането на невронните мрежи: кодът е цялостен с мнения и има необикновена класификация. Основната му задача е да извърши следната верига от инфекции. PowerShell зареждачът изтегля файла „ cargajecerrr.txt “ от далечен запас, който към този момент е виновен за инсталирането на два потребни товара, в това число съставния елемент, който започва Venom RAT.
Самият Venom RAT е основан на плана с отворен код Quasar RAT, само че се продава като търговски инструмент – 650 $ за неопределен лиценз или 350 $ за месечен пакет с HVNC функционалности и модули за кражба на данни. Зловредният програмен продукт има необятен набор от функционалности – от кражба на информация и потребление на машината на жертвата като противоположен прокси сървър до вградена отбрана при изключване. За тази цел той трансформира листата с DACL позволения, с цел да отстрани разрешенията, които могат да попречат на работата, и приключва процесите, които подхождат на твърдо кодираните в кода.
Отделна нишка в троянския кон ревизира за дейни процеси на всеки 50 милисекунди. Ако бъдат открити принадлежности за администриране или за двоичен разбор на.NET, те се приключват неотложно без съобщение. За да се закрепи в системата, програмата модифицира регистъра и автоматизирано се рестартира, в случай че нейният развой не е в листата със задания. С нарасналите си привилегии злонамереният програмен продукт получава маркера SeDebugPrivilege, отбелязва се като сериозен систематичен развой и блокира компютъра от хибернация.
Арсеналът включва и механизми за разпространяване посредством сменяеми носители, заличаване на процесите на Microsoft Defender Antivirus и манипулиране на програмата за обмисляне на дилемите и настройките на регистъра, с цел да се деактивира софтуерът за сигурност.
Според специалистите RevengeHotels съществено е укрепила своите благоприятни условия: употребявайки LLM-базирани генератори на код, групата усъвършенства фишинг примамките, усъвършенства веригите за заразяване и уголемява активността си отвън нормалните райони. Крайната цел на офанзивите остава същата – да се откраднат платежните данни на гостите и клиентите на хотелите, в това число информацията, излъчена посредством главните услуги за онлайн резервации.
