В 2025 году киберугроза в гостиничной отрасли Латинской Америки получила новое развитие благодаря деятельности одной из наиболее активных и опасных группировок под названием TA558, известной также под псевдонимом RevengeHotels. Эта группа специализируется на атаках с целью внедрения различных видов удалённого доступа (RAT) и похищения кредитных данных клиентов. Последние наблюдения российских специалистов из компании Kaspersky выявили, что TA558 стала использовать искусственный интеллект для автоматизации создания вредоносных скриптов, что существенно повысило эффективность их операций и сложность выявления атаки на ранних стадиях.Основной целью таких кампаний остаётся гостиничный и туристический сектор стран с португалоязычными и испаноязычными рынками, в частности Бразилия. Здесь киберпреступники активно распространяют вредоносный софт Venom RAT через фишинговые письма, маскирующиеся под официальные счета или заявки на работу.
Эти письма содержат ссылки или вложения с JavaScript-исполняемым кодом, который загружает и запускает последующие модули вирусного ПО посредством PowerShell, что свидетельствует о высокой степени автоматизации и использования современных техник внедрения.Уникальность последней кампании заключается в том, что значительную часть исходного кода скриптов для заражения активно генерируют агенты искусственного интеллекта - большие языковые модели (LLM). Это проявляется в хорошо структурированном и подробно комментированном коде, который характерен для подобных технологий, служащих для оптимизации создания и изменения вредоносных загрузчиков. По мнению аналитиков, применение LLM облегчает злоумышленникам адаптацию и масштабирование кибератак, сокращая временные и трудовые затраты на разработку новых вариантов вредоносных программ и обфускации.Venom RAT, являющийся основным инструментом в руках TA558, - это коммерческое вредоносное ПО, базирующееся на открытом проекте Quasar RAT.
За относительно невысокую стоимость лицензии злоумышленники получают мощный набор функций: от кражи пользовательских данных и перехвата информации до создания обратного прокси и реализации защиты от завершения работы вредоносного процесса. В частности, Venom RAT демонстрирует сложные алгоритмы самозащиты, включая изменение настроек контроля доступа к процессам в системе, непрерывное наблюдение и завершение процессов, характерных для антивирусов и отладчиков, а также восстановление работы при попытке удаления.Эти возможности позволяют вредоносному ПО оставаться активным на компьютерах жертв долгое время, что создаёт серьёзную угрозу для безопасности систем гостиниц и других организаций сферы туризма. Кроме кражи конфиденциальных данных гостей, таких как номера кредитных карт и личная информация, заражённые устройства могут использоваться для дальнейшего распространения вредоносного ПО по сети, что приводит к масштабным проблемам с кибербезопасностью и огромным финансовым убыткам.Для доставки Venom RAT также применяются изощрённые техники сокрытия.
К примеру, скрипты запускают загрузчик с сервера злоумышленников, который загружает и запускает две дополнительные полезные нагрузки, усиливая модульность атаки и повышая устойчивость к обнаружению традиционными средствами защиты. Использование PowerShell как средства исполнения команд играет важную роль, поскольку позволяет злоумышленникам обходить многие системы безопасности, базирующиеся на статическом анализе.Самостоятельное обнаружение и блокировка подобных кампаний затруднены из-за активной локализации фишинговых сообщений, которые создаются на португальском и испанском языках с использованием социальной инженерии. Здесь злоумышленники применяют темы, связанные с бронированием гостиниц и вакансиями, максимально приближая фальшивые письма к реальной деловой переписке, чтобы повысить вероятность успешного заражения. В результате атаки получили название RevengeHotels, подчёркивая целенаправленность на гостиничный сектор.
История TA558 восходит минимум к 2015 году, и за это время группа демонстрировала постоянное совершенствование своих тактик и инструментов. Ранее они пользовались уязвимостью Microsoft Office CVE-2017-0199 для удалённого выполнения кода через документы Word, Excel и PDF. С развитием технологий группа расширила палитру вредоносных программ, включая не только Venom RAT, но и NjRAT, NanoCoreRAT, Agent Tesla, Lokibot и другие опасные вирусы со сложными функциями кражи данных.Особую значимость приобретает способность Venom RAT создавать постоянное присутствие в системе посредством изменения параметров Windows Registry и других системных настроек, что делает его удаление сложным для специалистов по безопасности. В случае запуска с повышенными привилегиями, вредоносное ПО даже маркирует себя как критически важный процесс, что дополнительно затрудняет попытки его прекращения.
Помимо прочего, Venom RAT оснащён механизмами распространения через съёмные USB-накопители, что обуславливает высокий риск внутреннего распространения вируса в корпоративной сети гостиниц и туристических агентств. Также вредоносное ПО намеренно отключает защитные механизмы Windows Defender и изменяет задачи планировщика заданий, обеспечивая долгосрочную скрытность и функциональность.Для борьбы с подобными кибератаками организациям гостиничного и туристического бизнеса необходимо повысить уровень осведомлённости сотрудников, организовать обучение по распознаванию фишинговых писем и внедрить многоуровневую систему защиты от вредоносных программ. Использование современных решений на базе искусственного интеллекта может помочь в выявлении аномалий и подозрительных сценариев эксплуатации PowerShell и других компонентов операционной системы.Аналитики Kaspersky подчёркивают, что использование AI-генерируемых скриптов и индивидуально настроенных фишинговых сообщений свидетельствует о тенденции к активному применению технологий искусственного интеллекта в киберпреступности.
Это создаёт новые вызовы для специалистов по безопасности, которые должны разрабатывать инновационные методы анализа и предотвращения атак с учётом быстро меняющихся инструментов злоумышленников.В условиях быстрорастущей цифровизации туристической и гостиничной отрасли, где обработка персональных и платёжных данных клиентов является критически важной, усиление мер кибербезопасности становится первоочередной задачей. Все участники рынка должны учитывать новые схемы атак и инвестировать в надёжные протоколы защиты, чтобы минимизировать риски финансовых потерь, повреждения репутации и нарушения деятельности.В заключение стоит отметить, что кейс TA558 и вредоносного ПО Venom RAT демонстрирует, каким образом современный киберпреступный мир адаптируется и внедряет инновационные технологии для массовых и прицельных атак. Отельный бизнес в Бразилии и других LATAM-странах становится мишенью, но понимание угроз и проактивные меры способны значительно снизить последствия этих опасных кибератак и защитить важные инфраструктуры и данные клиентов.
.
