Группа TA558 снова охотится, на этот раз вооружена искусственным интеллектом. Согласно Lab Kaspersky, в летние месяцы 2025 года члены кластера Sengehotels атаковали отели в Бразилии и испанских странах, распространяя лошадей троянских крыс, в том числе крыс Venom. Эксперты отмечают, что большая часть загрузчиков и вспомогательный код в новых атаках создаются с помощью агентов LLM.
Преступники продолжают полагаться на фишинговые электронные письма с выставлением счетов и резерваций, которые предоставляют JavaScript Scripts и программы платы PowerShell. Компоненты подвергали дополнительные модули и в конечном итоге запускают крыса Venom. Электронные письма отправляются на португальский и испанский, причем как приманка являются как заявками на работу, так и поддельными уведомлениями о бронировании.
Первый сценарий написан в стиле, характерной для генерации нейронных сетей: код полон комментариев и имеет необычную договоренность. Его основная задача — выполнить следующую цепочку инфекций. PowerShell Loader загружает файл «cargajecerrrr.txt» из удаленного ресурса, который уже отвечает за установку двух полезных нагрузок, включая компонент, который запускается Яд крысаС
Сама Venom Rat основана на открытом коде Quasar Rat, но продается как коммерческий инструмент — 650 долл. США за неопределенную лицензию или 350 долл. США за ежемесячную функцию HVNC и модули кражи данных. Улвнативное ПО имеет широкий спектр функциональности — кража информации и использование машины жертвы в качестве возврата прокси для встроенной — в защите. С этой целью он меняет список разрешений DACL, чтобы устранить разрешения, которые могут мешать работе и прекратить процессы, которые соответствуют твердо кодируемым в коде.
Отдельная нить в троянской лошади проверяет активные процессы каждые 50 миллисекунд. Если инструменты администрирования или бинарный анализ .NET найдены, они должны быть немедленно прекращены без предварительного уведомления. Чтобы защитить систему, программа изменяет регистр и автоматически перезапускается, если ее процесс не входит в список задач. С его повышенными привилегиями вредоносное ПО получает маркер Sedebugprivilege, называемый критическим системным процессом и блокирует компьютер от спячки.
Арсенал также включает в себя механизмы для распространения через съемные носители, удаление процессов антивируса Microsoft Defender и манипуляции с программой планирования и настроек реестра для отключения программного обеспечения для безопасности.
По словам экспертов, Invengehotels серьезно усилила свои возможности: использование генераторов кода на основе LLM, группа улучшает фишинговые приманки, оптимизирует цепочки загрязнения и расширяет свои операции за пределами обычных регионов. Конечная цель атак остается прежней — украсить данные о платежах гостей и клиентов отелей, включая информацию, передаваемую через базовые услуги для онлайн -бронирования.
