Uma nova onda de ciberataques a hotéis foi identificada no Brasil, entre outros países da América Latina. Os últimos recentes foram observados e reportados pela Kaspersky, que relacionou as táticas e procedimentos utilizados a um agente malicioso com longo histórico de atuação, TA558 – RevengeHotels. Pelo menos desde 2015, o grupo visa sistemas de hospedagem em busca de cartões de créditos dos clientes.Nos últimos incidentes, o agente malicioso utilizou trojans de acesso remoto, também conhecidos pela sigla em inglês “RAT”, para garantir o controle dos sistemas infectados. Como de costume, a distribuição dos malwares foi realizada a partir de e-mails enganosos de recibos – o tradicional método de “phishing”, que tenta “pescar” vítimas em meios fraudados de comunicação. Uma vez que o arquivo malicioso é executado no sistema, ele instala os softwares necessários para o golpe através de JavaScript e PowerShell.Exemplo de e-mail de fraudulento. (Fonte: Secure List / Reprodução)Curiosamente, os novos ataques também incorporam um elemento incomum: o uso de inteligência artificial para escrever os códigos maliciosos. O malware Venom RAT, destaque entre os últimos incidentes, teve boa parte de sua programação feita por um agente de Grande Modelo de Linguagem (LLM), como o ChatGPT, conforme aponta a análise da Kaspersky.Entre as evidências de uso de IA no desenvolvimento do código, estão:Trechos com maior clareza e organização, tornando a leitura mais direta.Inclusão de placeholders, que permitem a inserção de variáveis ou conteúdos específicos pelo autor.Comentários explicativos que detalham a maioria das operações realizadas pelo código.Pouca ou nenhuma ofuscação, destacando-se em contraste com o restante do código malicioso.Como o malware Venom RAT opera no computador das vítimas?Apesar de ser comumente associado ao amadorismo, a programação feita por IA não diminuiu a eficácia do Venom RAT. Parte disso se dá pela base utilizada para seu desenvolvimento, o malware de código-aberto Quasar RAT, que possui ‘licença vitalícia’ comercializada por US$ 650 – cerca de R$ 3450, em conversão direta. Justamente pela natureza transparente, o material fonte pode ser melhorado e personalizado pela comunidade, etapa em que as IAs tendem a facilitar.Exemplo de código com IA. (Fonte: Secure List / Reprodução)O Venom RAT é capaz de roubar dados, servir como um ponto de conexão remoto, e oferece resistência a eliminações. Para isso, seu código elimina qualquer outro processo que pode interferir em seu funcionamento, incluindo os relacionados a programas utilizados por profissionais de segurança. A busca por esses processos ocorre a cada 50 milissegundos, e a eliminação dos “alvos” ocorre sem alertar o usuário.Quando é executado com privilégios de administrador, o malware habilita permissões avançadas e se identifica como um processo essencial do sistema. Com isso, torna-se mais difícil de ser encerrado manualmente e mantém o computador ativo, impedindo que a tela desligue ou que o equipamento entre em modo de suspensão.Planos de assinatura do Venom RAT. (Fonte: Secure List / Reprodução)O Venom RAT ainda conta com ferramentas para se propagar através de dispositivos USB. Ele consegue interromper a execução do Microsoft Defender Antivirus e realizar alterações no Registro do Windows e no Agendador de Tarefas, visando desativar ou comprometer recursos de segurança do sistema operacional.Ataques anteriores do TA558, RevengeHotelsNo passado, o RevengeHotels (TA558) possuía táticas alternativas de operação, embora seguissem parâmetros similares ao caso do Venom RAT. Os ataques utilizavam métodos de phishing para entregar documentos de Excel ou Word, além de PDFs, com códigos maliciosos.Em um dos incidentes, categorizado como CVE-2017-0199, uma falha do Microsoft Office era explorada para potencializar a eficácia da abordagem, permitindo a instalação de inúmeros outros malwares – Revenge RAT, NjRAT, NanoCoreRAT e 888 RAT, além do personalizado ProCC.Como se proteger do Venom RAT e outros trojans de acesso remotoPara se proteger de ameaças como o Venom RAT, é essencial redobrar a atenção com e-mails e arquivos recebidos. Evite abrir links ou anexos suspeitos, mesmo que pareçam provenientes de remetentes confiáveis. Prefira sempre confirmar a autenticidade de mensagens antes de executar qualquer arquivo, observando remetente, conteúdo e formato do documento.Outro ponto importante é o cuidado com permissões e configurações do sistema. Malwares desse tipo podem solicitar acessos desnecessários ou explorar vulnerabilidades para se manter ativos e controlar o computador remotamente. Por isso, revise regularmente as permissões de programas instalados e restrinja privilégios apenas a softwares confiáveis.Além disso, adotar boas práticas de segurança digital ajuda a reduzir riscos:Desconfie de e-mails que solicitem ações urgentes ou que tentem se passar por comprovantes de pagamento ou reservas;Não clique em links suspeitos nem execute arquivos desconhecidos;Mantenha o antivírus atualizado e considere o uso de ferramentas de detecção adicionais;Ative recursos de proteção do sistema, como bloqueios e controles de contas de usuário;Em caso de suspeita de infecção, desconecte o computador da internet e busque suporte especializado para análise e remoção do malware.Já passou por algo similar ou conhece alguém que já caiu nesse tipo de golpe? Nos conte nas redes sociais do TecMundo!