Оффлайн
- Регистрация
- 9 Май 2015
- Сообщения
- 1,480
- Баллы
- 155
Эксперты «Лаборатории Касперского» новую волну атак группировки RevengeHotels. Отличительной особенностью этой кампании стало то, что многие из новых образцов вредоносного ПО были созданы с применением ИИ.
RevengeHotels (она же TA558) активна с 2015 года и специализируется на похищении данных кредитных карт постояльцев отелей и путешественников. Обычно хакеры рассылают письма с фишинговыми ссылками, которые перенаправляют посетителей на сайты, замаскированные под хранилища документов. С этих сайтов загружаются вредоносные скрипты, которые заражают целевые компьютеры.
Финальные полезные нагрузки представляют собой различные трояны удаленного доступа (RAT), позволяющие злоумышленникам управлять скомпрометированными системами, похищать конфиденциальные данные, закрепляться в инфраструктуре и так далее.
Летом 2025 года специалисты обнаружили новые атаки группы, нацеленные на отели, с применением все более сложных имплантов и инструментов. Основными мишенями группы стали гостиницы в Бразилии, однако цели выявлены и в нескольких испаноговорящих странах — Аргентине, Боливии, Чили, Коста-Рике, Мексике, Испании.
В предыдущих кампаниях группа RevengeHotels атаковала пользователей в России, Беларуси, Турции, Малайзии, Италии и Египте.
В этот раз атакующие продолжили рассылать фишинговые письма (замаскированные под счета-фактуры, запросы о бронировании номера отеля или обращения соискателей о поиске работы в сфере гостевого сервиса) для доставки VenomRAT с помощью загрузчиков на основе JavaScript и PowerShell.
Как показал анализ, значительная часть кода для начального заражения и загрузки имплантов в этих кампаниях могла быть сгенерирована с помощью LLM-агентов. Исследователи полагают, что хакеры активно используют ИИ-технологии для расширения своих возможностей.
Отмечается, что VenomRAT представляет собой обновленную версию опенсорсного трояна QuasarRAT, который впервые обнаружили в середине 2020 года. VenomRAT распространяется в даркнете по цене до 650 долларов США за пожизненную лицензию. Несмотря на утечку исходного кода VenomRAT, он по-прежнему продается и используется злоумышленниками.
RevengeHotels (она же TA558) активна с 2015 года и специализируется на похищении данных кредитных карт постояльцев отелей и путешественников. Обычно хакеры рассылают письма с фишинговыми ссылками, которые перенаправляют посетителей на сайты, замаскированные под хранилища документов. С этих сайтов загружаются вредоносные скрипты, которые заражают целевые компьютеры.
Финальные полезные нагрузки представляют собой различные трояны удаленного доступа (RAT), позволяющие злоумышленникам управлять скомпрометированными системами, похищать конфиденциальные данные, закрепляться в инфраструктуре и так далее.
Летом 2025 года специалисты обнаружили новые атаки группы, нацеленные на отели, с применением все более сложных имплантов и инструментов. Основными мишенями группы стали гостиницы в Бразилии, однако цели выявлены и в нескольких испаноговорящих странах — Аргентине, Боливии, Чили, Коста-Рике, Мексике, Испании.
В предыдущих кампаниях группа RevengeHotels атаковала пользователей в России, Беларуси, Турции, Малайзии, Италии и Египте.
В этот раз атакующие продолжили рассылать фишинговые письма (замаскированные под счета-фактуры, запросы о бронировании номера отеля или обращения соискателей о поиске работы в сфере гостевого сервиса) для доставки VenomRAT с помощью загрузчиков на основе JavaScript и PowerShell.
Как показал анализ, значительная часть кода для начального заражения и загрузки имплантов в этих кампаниях могла быть сгенерирована с помощью LLM-агентов. Исследователи полагают, что хакеры активно используют ИИ-технологии для расширения своих возможностей.
Отмечается, что VenomRAT представляет собой обновленную версию опенсорсного трояна QuasarRAT, который впервые обнаружили в середине 2020 года. VenomRAT распространяется в даркнете по цене до 650 долларов США за пожизненную лицензию. Несмотря на утечку исходного кода VenomRAT, он по-прежнему продается и используется злоумышленниками.