Uma nova onda de ciberataques vem atingindo hotéis no Brasil e em outros países da América Latina. Segundo a Kaspersky, os ataques têm ligação com o grupo TA558, também conhecido como RevengeHotels, ativo desde 2015 e especializado em roubar dados de cartões de crédito de clientes, especialmente em reservas feitas pelo Booking.com.
Nos incidentes mais recentes, os criminosos têm usado trojans de acesso remoto (RATs) para assumir o controle dos sistemas infectados. A infecção ocorre por meio de phishing, quando a vítima recebe e-mails falsos com recibos ou documentos suspeitos. Ao abrir o arquivo malicioso, o sistema instala automaticamente os programas necessários para o golpe, usando JavaScript e PowerShell.
O diferencial dos novos ataques
Uma novidade chama a atenção: os criminosos passaram a usar inteligência artificial para escrever parte do código malicioso. O malware em destaque, chamado Venom RAT, teve boa parte da sua programação feita com ajuda de modelos de linguagem como o ChatGPT.
Entre os indícios estão:
- códigos mais claros e organizados;
- inclusão de placeholders, que facilitam personalizações;
- comentários explicativos no código;
- pouca ou nenhuma ofuscação, o que contrasta com técnicas comuns em malwares.
Apesar disso, a ameaça é eficaz porque se baseia no Quasar RAT, um trojan de código aberto vendido por cerca de US$ 650 (aproximadamente R$ 3.450). Por ser público, ele pode ser facilmente melhorado e adaptado, e o uso de IA acelera esse processo.
Como o Venom RAT age
O Venom RAT é projetado para roubar informações e manter o controle do computador infectado. Entre suas capacidades estão:
- eliminar processos de segurança a cada 50 milissegundos;
- se disfarçar como processo essencial do sistema quando executado como administrador;
- impedir que o computador seja desligado ou entre em suspensão;
- se espalhar por dispositivos USB;
- desativar o Microsoft Defender Antivirus;
- alterar o Registro do Windows e o Agendador de Tarefas.
Essas funções tornam sua remoção mais difícil e aumentam o risco para empresas e usuários.
Histórico do grupo RevengeHotels
O TA558 já usou táticas semelhantes no passado. Em ataques anteriores, distribuíam documentos do Office e PDFs infectados via phishing. Em um caso de 2017, exploraram uma falha do Microsoft Office (CVE-2017-0199) que permitia instalar diversos outros malwares, como Revenge RAT, NjRAT e NanoCoreRAT.
Como se proteger
Para evitar infecções por malwares como o Venom RAT, algumas medidas são fundamentais:
- desconfie de e-mails suspeitos, mesmo que pareçam legítimos;
- não clique em links ou abra anexos sem verificar a autenticidade;
- mantenha seu antivírus atualizado;
- restrinja permissões de programas apenas a softwares confiáveis;
- ative recursos de proteção do sistema, como bloqueio de contas e controle de usuário;
- em caso de suspeita, desconecte o computador da internet e procure ajuda especializada.
O uso de inteligência artificial por cibercriminosos mostra como a tecnologia pode ser explorada em diferentes frentes — inclusive no cibercrime. Empresas e usuários precisam redobrar a atenção e investir em práticas de segurança para não cair nessas armadilhas digitais.
