O grupo de cibercriminosos conhecido como RevengeHotels (TA558) intensificou suas atividades desde 2015, utilizando inteligência artificial para criar campanhas de phishing sofisticadas que distribuem o Trojan de Acesso Remoto VenomRAT. Os ataques têm como alvo principalmente o setor de hospitalidade, com foco em hotéis brasileiros e em mercados de língua espanhola, como Argentina, Chile e México. Os criminosos enviam e-mails fraudulentos, frequentemente em português ou espanhol, que simulam faturas e contêm links para sites de armazenamento de documentos falsos. Ao acessar esses links, os usuários baixam um loader em JavaScript que, por sua vez, executa scripts PowerShell para instalar o VenomRAT. Este malware, que oferece funcionalidades avançadas como controle remoto oculto e exploração de UAC, é projetado para se manter ativo no sistema, desativando o Windows Defender e monitorando processos de segurança. Os especialistas em segurança cibernética alertam que é essencial que as organizações verifiquem a autenticidade de e-mails inesperados e implementem defesas de endpoint para detectar essas ameaças.
Fonte: https://cyberpress.org/venomrat-revengehotels/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
16/09/2025 • Risco: ALTO
MALWARE
Usuários do Windows sob ataque de RevengeHotels com VenomRAT
RESUMO EXECUTIVO
O uso de VenomRAT por RevengeHotels representa uma ameaça significativa para a segurança cibernética no Brasil, especialmente para o setor de hospitalidade. A combinação de phishing e malware sofisticado exige que as organizações implementem medidas de segurança robustas para proteger dados sensíveis e garantir a conformidade com a legislação.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido a compromissos de dados e interrupções operacionais.
Operacional
Comprometimento de sistemas e dados sensíveis de hotéis.
Setores vulneráveis
['Setor de hospitalidade', 'Setor financeiro']
📊 INDICADORES CHAVE
RevengeHotels tem atuado desde 2015.
Indicador
O VenomRAT foi identificado pela primeira vez em 2020.
Contexto BR
Os ataques se expandiram para mercados como Argentina, Chile e México.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar e-mails recebidos que contenham faturas ou confirmações de reserva.
2
Implementar soluções de segurança que detectem e bloqueiem scripts maliciosos e tráfego RAT criptografado.
3
Monitorar continuamente atividades suspeitas em endpoints e redes.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a crescente sofisticação dos ataques, que utilizam IA para enganar usuários e comprometer sistemas críticos.
⚖️ COMPLIANCE
Implicações na conformidade com a LGPD, especialmente em relação ao tratamento de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
