Grupa hakera poznata kao RevengeHotels proširila je svoj arsenal novim trojancem za daljinski pristup (RAT), u nedavnim napadima na hotelski sektor, izvještava Kaspersky.
Aktivna od 2015. godine i poznata i pod oznakom TA558, ova hakerska grupa fokusirana je na krađu podataka sa kreditnih kartica hotelskih gostiju i putnika.
Napadi RevengeHotels grupe obično počinju fišing mejlovima koji vode na sajtove sa malicioznim skriptama, dizajniranim da inficiraju sisteme žrtava različitim RAT porodicama, omogućavajući hakerima krađu osjetljivih podataka i održavanje trajnog pristupa.
Ranije je grupa viđena kako cilja hotele u više latinoameričkih zemalja koristeći malvere kao što su 888 RAT, NanoCoreRAT, NjRAT, RevengeRAT, te sopstveni malver ProCC.
U novije vrijeme, hakeri dodali su XWorm u svoj arsenal, a takođe su zabilježeni i slučajevi upotrebe DesckVBRAT-a.
U kampanji koju je Kaspersky otkrio sredinom 2025. godine, RevengeHotels je počeo koristiti sofisticiranije implante i alate, kao što je VenomRAT, i krenuo sa primjenom vještačke inteligencije za kreiranje JavaScript loadera i PowerShell downloadera.
Napadi su započinjali fišing mejlovima sa lažnim fakturama za rezervacije hotela, kojima se od primaoca tražilo da plate navodno zaostale račune. U novijim slučajevima, hakeri šalju lažne prijave za posao i biografije hotelima.
Žrtve su bile preusmjerene na sajtove sa malicioznim skriptama čiji je kod generisan pomoću AI alata. Ove skripte su potom učitavale dodatne komponente koje bi aktivirale infekciju malverom.
“Kod značajnog dijela početnih infektora i downloadera u ovoj kampanji jasno se vidi da je generisan od strane agenata velikih jezičkih modela (LLM). To sugeriše da haker sada koristi AI da unaprijedi svoje sposobnosti, što je trend primijećen i kod drugih sajberkriminalnih grupa”, navodi Kaspersky.
Lanac infekcije završava implementacijom VenomRAT-a, koji hakerima omogućava kontrolu zaraženih računara preko skrivene virtuelne desktop sesije. Malver može prikupljati i izvoziti fajlove, postaviti reverzni proxy i zaobići zaštite User Account Control-a.
Takođe se može širiti putem USB diskova, tako što pretražuje uklonjive uređaje i kopira se pod imenom My Pictures.exe.
Prema Kasperskyju, ova nova kampanja RevengeHotels-a prvenstveno je ciljala hotele i recepcije u Brazilu. Ipak, iako je većina fišing mejlova bila na portugalskom jeziku, dio njih je bio na španskom, što sugeriše da grupa širi operacije i na druge regione.
Ranije je viđena kako napada hotele u zemljama španskog govornog područja poput Argentine, Bolivije, Čilea, Kostarike, Meksika i Španije, ali i u Rusiji, Bjelorusiji i Turskoj.
“RevengeHotels je značajno unaprijedio svoje sposobnosti, razvijajući nove taktike za napade na hotelski i turistički sektor. Uz pomoć LLM agenata, grupa sada može generisati i prilagođavati svoje fišing mamce, proširujući napade na nove regione”, zaključuje Kaspersky.
Izvor: SecurityWeek
