- Специальный корреспондент
Киберпреступники доверили создание кода искусственному интеллекту.
Группа TA558 снова вышла на охоту, на этот раз вооружившись искусственным интеллектом. По Лаборатории Касперского, в летние месяцы 2025 года участники кластера RevengeHotels атаковали гостиницы в Бразилии и испаноязычных странах, распространяя RAT-трояны, включая Venom RAT. Специалисты отмечают, что значительная часть загрузчиков и вспомогательного кода в новых атаках создана при помощи LLM-агентов.
Преступники продолжают полагаться на письма с тематикой счетов и бронирований, которые доставляют JavaScript-скрипты и PowerShell-загрузчики. Компоненты подгружают дополнительные модули и в конечном итоге запускают Venom RAT. Письма рассылаются на португальском и испанском языках, при этом среди приманок встречаются как заявки на работу, так и фиктивные уведомления о резервациях.
Первый скрипт написан в стиле, характерном для генерации нейросетями: код насыщен комментариями и имеет необычное оформление. Его основная задача — выполнить следующую цепочку заражения. PowerShell-загрузчик скачивает с удалённого ресурса файл «cargajecerrr.txt», который уже отвечает за установку двух полезных нагрузок, включая компонент, запускающий Venom RAT.
Сам Venom RAT основан на открытом проекте Quasar RAT, но продаётся как коммерческий инструмент — $650 за бессрочную лицензию или $350 за месячный пакет с функциями HVNC и модулями кражи данных. обладает широким функционалом: от кражи информации и использования машины жертвы в качестве обратного прокси до встроенной защиты от завершения процесса. Для этого он изменяет список разрешений DACL, удаляя права, которые могут мешать работе, и завершает процессы, совпадающие с жёстко прописанными в коде.
Отдельная нить в каждые 50 миллисекунд проверяет активные процессы. Если обнаруживаются инструменты администрирования или анализа .NET-бинарников, они немедленно завершаются без уведомлений. Чтобы закрепиться в системе, программа модифицирует реестр и автоматически перезапускается при отсутствии своего процесса в списке задач. При повышенных привилегиях вредонос получает токен SeDebugPrivilege, назначает себя критическим системным процессом и блокирует переход компьютера в спящий режим.
В арсенал также встроены механизмы распространения через съёмные носители, удаление процессов Microsoft Defender Antivirus и вмешательство в планировщик задач и параметры реестра для отключения защитного ПО.
По словам специалистов, RevengeHotels серьёзно усилила свои возможности: благодаря использованию кода на базе LLM группировка совершенствует фишинговые приманки, оптимизирует цепочки заражения и расширяет деятельность за пределы привычных регионов. Конечная цель атак остаётся прежней — кража платёжных данных гостей и клиентов гостиничных систем, включая информацию, передаваемую через крупные онлайн-сервисы бронирования.
Группа TA558 снова вышла на охоту, на этот раз вооружившись искусственным интеллектом. По Лаборатории Касперского, в летние месяцы 2025 года участники кластера RevengeHotels атаковали гостиницы в Бразилии и испаноязычных странах, распространяя RAT-трояны, включая Venom RAT. Специалисты отмечают, что значительная часть загрузчиков и вспомогательного кода в новых атаках создана при помощи LLM-агентов.
Преступники продолжают полагаться на письма с тематикой счетов и бронирований, которые доставляют JavaScript-скрипты и PowerShell-загрузчики. Компоненты подгружают дополнительные модули и в конечном итоге запускают Venom RAT. Письма рассылаются на португальском и испанском языках, при этом среди приманок встречаются как заявки на работу, так и фиктивные уведомления о резервациях.
Первый скрипт написан в стиле, характерном для генерации нейросетями: код насыщен комментариями и имеет необычное оформление. Его основная задача — выполнить следующую цепочку заражения. PowerShell-загрузчик скачивает с удалённого ресурса файл «cargajecerrr.txt», который уже отвечает за установку двух полезных нагрузок, включая компонент, запускающий Venom RAT.
Сам Venom RAT основан на открытом проекте Quasar RAT, но продаётся как коммерческий инструмент — $650 за бессрочную лицензию или $350 за месячный пакет с функциями HVNC и модулями кражи данных. обладает широким функционалом: от кражи информации и использования машины жертвы в качестве обратного прокси до встроенной защиты от завершения процесса. Для этого он изменяет список разрешений DACL, удаляя права, которые могут мешать работе, и завершает процессы, совпадающие с жёстко прописанными в коде.
Отдельная нить в каждые 50 миллисекунд проверяет активные процессы. Если обнаруживаются инструменты администрирования или анализа .NET-бинарников, они немедленно завершаются без уведомлений. Чтобы закрепиться в системе, программа модифицирует реестр и автоматически перезапускается при отсутствии своего процесса в списке задач. При повышенных привилегиях вредонос получает токен SeDebugPrivilege, назначает себя критическим системным процессом и блокирует переход компьютера в спящий режим.
В арсенал также встроены механизмы распространения через съёмные носители, удаление процессов Microsoft Defender Antivirus и вмешательство в планировщик задач и параметры реестра для отключения защитного ПО.
По словам специалистов, RevengeHotels серьёзно усилила свои возможности: благодаря использованию кода на базе LLM группировка совершенствует фишинговые приманки, оптимизирует цепочки заражения и расширяет деятельность за пределы привычных регионов. Конечная цель атак остаётся прежней — кража платёжных данных гостей и клиентов гостиничных систем, включая информацию, передаваемую через крупные онлайн-сервисы бронирования.
