Hotéis

Campanha de phishing atinge hotéis na Europa e Ásia com malware

Desde abril de 2026, uma campanha ativa de phishing tem como alvo organizações hoteleiras na Europa e na Ásia, utilizando arquivos ZIP com temas fotográficos para implantar um malware conhecido como TonRAT. Os e-mails de phishing, que se apresentam como notificações do ‘Booking Manager (via Calendly)’, abordam questões comuns em hotéis, como reclamações de hóspedes e inspeções de saúde, e são enviados em várias línguas, sendo o japonês o mais frequente. A técnica de entrega é sofisticada, utilizando o sistema de notificações do Calendly e serviços de redirecionamento do Google, o que permite que os e-mails passem por verificações de autenticação como SPF, DKIM e DMARC. Ao clicar no link, os usuários baixam um arquivo que, ao ser aberto, executa um script PowerShell que baixa e executa o Node.js, permitindo a instalação do malware. O TonRAT se comunica com servidores de comando e controle (C2) através de canais criptografados, dificultando a detecção. Embora não haja confirmação de roubo de dados até o momento, a natureza persistente do malware e a facilidade de remoção incorreta representam um risco significativo. A campanha não é nova, com registros anteriores de ataques semelhantes, mas a motivação final dos operadores ainda é desconhecida.

Ataque hacker visa hotéis no Brasil para roubar dados de hóspedes

Um novo agente malicioso, denominado TA558, está por trás de uma série de ataques a hotéis no Brasil e na América Latina, com o objetivo de roubar dados de cartões de crédito de hóspedes. Os ataques, conhecidos como RevengeHotels, utilizam e-mails de phishing que imitam documentos legítimos, como recibos de reservas, para disseminar o malware VenomRAT. Este trojan de acesso remoto é capaz de evitar a detecção por antivírus e se propaga através de scripts em JavaScript e PowerShell, muitos dos quais apresentam características que sugerem a utilização de inteligência artificial na sua criação.

Grupo de cibercriminosos ataca hotéis no Brasil com RATs

O grupo de cibercriminosos conhecido como TA558, vinculado a uma nova onda de ataques, está utilizando trojans de acesso remoto (RATs) como o Venom RAT para comprometer hotéis no Brasil e em mercados de língua espanhola. A empresa de cibersegurança Kaspersky identificou que os atacantes estão empregando e-mails de phishing com temas de faturas para disseminar o Venom RAT, utilizando carregadores em JavaScript e downloaders em PowerShell. Um aspecto alarmante é que uma parte significativa do código inicial dos infetores parece ter sido gerada por modelos de linguagem de grande escala (LLMs), indicando uma nova tendência entre grupos de cibercriminosos em usar inteligência artificial para aprimorar suas táticas. O objetivo principal desses ataques é roubar dados de cartões de crédito de hóspedes e viajantes armazenados nos sistemas dos hotéis, além de informações provenientes de agências de viagens online. O Venom RAT, uma ferramenta comercial, é projetado para coletar dados, atuar como um proxy reverso e possui mecanismos de proteção contra desativação, tornando-o um risco significativo para a segurança das informações no setor de hospitalidade.

Cibercriminosos exploram anúncios online para invadir sistemas de hotéis

Uma operação de phishing em larga escala está atacando a indústria de hospitalidade por meio de anúncios maliciosos em motores de busca. Os cibercriminosos estão se passando por pelo menos treze provedores de serviços de hotéis e aluguel de férias para roubar credenciais e invadir sistemas de gerenciamento de propriedades baseados em nuvem. A campanha utiliza malvertising, enganando usuários que buscam empresas legítimas. Anúncios patrocinados aparecem acima dos resultados autênticos, direcionando as vítimas para domínios que imitam sites legítimos. As páginas de phishing apresentam formulários de login falsos projetados para coletar nomes de usuário, endereços de e-mail, números de telefone e senhas. Os atacantes demonstram táticas avançadas para contornar a autenticação multifatorial (MFA), solicitando códigos de “senha única” e oferecendo opções de “Login com Código SMS” e “Código de E-mail” para capturar tokens de autenticação em tempo real. A análise técnica sugere que os responsáveis pela campanha têm origens russas, utilizando uma infraestrutura sofisticada para monitorar o engajamento das vítimas. A operação representa riscos significativos para a indústria, expondo informações pessoais e dados de pagamento dos hóspedes. Especialistas recomendam que as organizações priorizem métodos de autenticação resistentes a phishing e monitorem registros de domínios suspeitos.