CibersegurançaNotícias

Hackers usam IA em ataques a hotéis no Brasil com Venom RAT

Imagem do autor do SempreUpdate Jardeson Márcio
Escrito por
Jardeson Márcio
Imagem do autor do SempreUpdate Jardeson Márcio
PorJardeson Márcio
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista...
Follow:
Cibercriminoso operando laptop em ambiente escuro representando agentes de IA em cibersegurança

Entenda como o grupo TA558 está usando IA para gerar scripts maliciosos e roubar dados de cartões de crédito no setor hoteleiro.

Uma nova onda de ataques a hotéis no Brasil está causando preocupação no setor de turismo e hospitalidade. O grupo cibercriminoso TA558, também conhecido como RevengeHotels, está explorando inteligência artificial (IA) para potencializar suas campanhas e distribuir o perigoso malware Venom RAT.

Conteúdo

Segundo um relatório da Kaspersky, os criminosos estão utilizando modelos de linguagem de grande porte (LLMs) para criar scripts maliciosos capazes de iniciar cadeias de infecção sofisticadas. O objetivo final é claro: roubar dados sensíveis de clientes, como informações de cartões de crédito, diretamente dos sistemas de reservas e computadores das redes hoteleiras.

Este artigo detalha como esses ataques funcionam, qual o papel da inteligência artificial no processo e quais medidas podem ser adotadas para proteger tanto as empresas do setor quanto os hóspedes.

Ataques hotéis Brasil
Imagem: TheHackerNews

Quem é o TA558 (ou RevengeHotels)?

O TA558 é um grupo de cibercriminosos ativo desde pelo menos 2015, com foco no setor de hospitalidade na América Latina, incluindo o Brasil. A atuação deles já foi identificada em diversos países, sempre mirando hotéis, agências de turismo e sistemas de reservas.

No passado, o grupo utilizava ferramentas como Revenge RAT e NjRAT, dois Trojans de acesso remoto (RATs) que permitem o controle total do dispositivo da vítima. Essas campanhas já tinham como alvo principal a coleta de dados financeiros e credenciais de sistemas internos.

Com o tempo, o TA558 evoluiu suas estratégias, adotando malwares mais sofisticados e explorando as brechas humanas — principalmente através de e-mails de phishing que simulam reservas, faturas e solicitações legítimas.

A nova arma do arsenal: Como a inteligência artificial está sendo usada?

A principal inovação nesta nova campanha do TA558 é o uso de inteligência artificial, mais especificamente os LLMs (Large Language Models).

Um LLM é um modelo de IA treinado para gerar e compreender linguagem natural. Embora amplamente utilizado em assistentes virtuais e ferramentas de produtividade, esse recurso também pode ser explorado por criminosos.

De acordo com a Kaspersky, o TA558 está usando IA para gerar e ofuscar scripts iniciais de infecção. Isso inclui códigos em JavaScript e PowerShell que dão início à cadeia de ataque.

Essa prática traz várias implicações preocupantes:

  • Velocidade: os atacantes conseguem criar scripts rapidamente.
  • Ofuscação: os códigos gerados são mais difíceis de detectar por antivírus.
  • Acessibilidade: até criminosos com pouco conhecimento técnico conseguem conduzir ataques complexos.

Em resumo, a IA está democratizando o cibercrime, permitindo que grupos como o TA558 ampliem seu alcance com menos esforço.

Anatomia do ataque: Do e-mail de phishing ao Venom RAT

A isca: Falsas reservas e faturas

O ataque começa com e-mails de phishing cuidadosamente elaborados em português ou espanhol. Essas mensagens simulam reservas de clientes, comprovantes de pagamento ou notas fiscais, induzindo funcionários de hotéis a clicarem em links maliciosos.

O script gerado por IA

Ao clicar no link, a vítima baixa um script em JavaScript, criado e ofuscado com a ajuda de IA. Esse script executa um downloader em PowerShell, que abre caminho para a instalação de cargas maliciosas mais avançadas.

A infecção final com o Venom RAT

A última etapa da cadeia culmina na instalação do Venom RAT, um Trojan de acesso remoto que se torna a espinha dorsal da operação criminosa. Uma vez ativo, o malware permite ao atacante espionar, manipular e roubar dados sensíveis diretamente do sistema comprometido.

Venom RAT em detalhes: Mais do que um simples malware

O Venom RAT é uma versão avançada do Quasar RAT, um projeto open-source que acabou sendo apropriado por criminosos. Sua sofisticação o torna uma ameaça séria ao setor hoteleiro.

Entre suas principais funcionalidades estão:

  • Mecanismos anti-kill: garante que o malware continue em execução, mesmo após tentativas de encerramento.
  • Modificação da DACL e marcação como processo crítico: dificulta a remoção manual.
  • Encerramento de processos de segurança: desativa ferramentas de monitoramento e antivírus.
  • Persistência no sistema: utiliza o Registro do Windows para se manter ativo após reinicializações.
  • Capacidade de propagação: espalha-se via unidades USB conectadas.
  • Desativação do Microsoft Defender: reduz ainda mais as defesas da máquina.

Na prática, o Venom RAT transforma o computador em um terminal controlado remotamente, possibilitando roubo de credenciais, espionagem e comprometimento de redes inteiras.

Conclusão: O futuro da cibersegurança e como se proteger

O uso de inteligência artificial pelo TA558 representa uma mudança preocupante no cenário do cibercrime. Se antes era necessário um nível técnico avançado para conduzir ataques complexos, agora criminosos podem contar com o apoio da IA para automatizar e sofisticar suas operações.

Para o setor hoteleiro, o impacto é direto: os sistemas de reservas e de pagamentos estão no centro da mira. Uma falha pode resultar em roubo de dados de clientes, fraudes financeiras e danos à reputação da marca.

Medidas de proteção recomendadas:

  • Treinamento constante: funcionários devem ser capacitados para identificar e-mails de phishing.
  • Soluções de segurança robustas: manter antivírus e sistemas de monitoramento atualizados.
  • Gestão de patches: aplicar correções de segurança regularmente.
  • Políticas de backup: garantir que os dados possam ser restaurados em caso de ataque.
  • Monitoramento financeiro: hóspedes devem verificar seus extratos de cartão de crédito após estadias.

O futuro da segurança cibernética no Brasil dependerá da capacidade de empresas e indivíduos de se adaptarem a esse novo cenário, onde IA e cibercrime caminham lado a lado.

TAGGED:
Compartilhe este artigo
Artigo anterior Logomarca SonicWall Violação SonicWall: Guia para redefinir credenciais e proteger
Próximo artigo Nothing Ear (3) vaza: Veja detalhes e o ‘Super Mic’ na case
CibersegurançaNotícias

Violação SonicWall: Guia para redefinir credenciais e proteger

Logomarca SonicWall

Um alerta urgente para administradores: backups de firewall foram expostos. Saiba como proteger sua rede agora.

Por Jardeson Márcio

Leia também

Posts sobre o mesmo assunto