Hotéis

Um novo agente malicioso, denominado TA558, está por trás de uma série de ataques a hotéis no Brasil e na América Latina, com o objetivo de roubar dados de cartões de crédito de hóspedes. Os ataques, conhecidos como RevengeHotels, utilizam e-mails de phishing que imitam documentos legítimos, como recibos de reservas, para disseminar o malware VenomRAT. Este trojan de acesso remoto é capaz de evitar a detecção por antivírus e se propaga através de scripts em JavaScript e PowerShell, muitos dos quais apresentam características que sugerem a utilização de inteligência artificial na sua criação.

O grupo de cibercriminosos conhecido como TA558, vinculado a uma nova onda de ataques, está utilizando trojans de acesso remoto (RATs) como o Venom RAT para comprometer hotéis no Brasil e em mercados de língua espanhola. A empresa de cibersegurança Kaspersky identificou que os atacantes estão empregando e-mails de phishing com temas de faturas para disseminar o Venom RAT, utilizando carregadores em JavaScript e downloaders em PowerShell. Um aspecto alarmante é que uma parte significativa do código inicial dos infetores parece ter sido gerada por modelos de linguagem de grande escala (LLMs), indicando uma nova tendência entre grupos de cibercriminosos em usar inteligência artificial para aprimorar suas táticas. O objetivo principal desses ataques é roubar dados de cartões de crédito de hóspedes e viajantes armazenados nos sistemas dos hotéis, além de informações provenientes de agências de viagens online. O Venom RAT, uma ferramenta comercial, é projetado para coletar dados, atuar como um proxy reverso e possui mecanismos de proteção contra desativação, tornando-o um risco significativo para a segurança das informações no setor de hospitalidade.

Uma operação de phishing em larga escala está atacando a indústria de hospitalidade por meio de anúncios maliciosos em motores de busca. Os cibercriminosos estão se passando por pelo menos treze provedores de serviços de hotéis e aluguel de férias para roubar credenciais e invadir sistemas de gerenciamento de propriedades baseados em nuvem. A campanha utiliza malvertising, enganando usuários que buscam empresas legítimas. Anúncios patrocinados aparecem acima dos resultados autênticos, direcionando as vítimas para domínios que imitam sites legítimos. As páginas de phishing apresentam formulários de login falsos projetados para coletar nomes de usuário, endereços de e-mail, números de telefone e senhas. Os atacantes demonstram táticas avançadas para contornar a autenticação multifatorial (MFA), solicitando códigos de “senha única” e oferecendo opções de “Login com Código SMS” e “Código de E-mail” para capturar tokens de autenticação em tempo real. A análise técnica sugere que os responsáveis pela campanha têm origens russas, utilizando uma infraestrutura sofisticada para monitorar o engajamento das vítimas. A operação representa riscos significativos para a indústria, expondo informações pessoais e dados de pagamento dos hóspedes. Especialistas recomendam que as organizações priorizem métodos de autenticação resistentes a phishing e monitorem registros de domínios suspeitos.