TA558, también conocido como RevengeHotels, es un grupo de ciberdelincuentes activo desde 2015. Su objetivo principal es el sector de la hospitalidad y el turismo en América Latina. Sus ataques se basan en campañas de phishing que usan señuelos como facturas atrasadas u ofertas de trabajo para engañar a los empleados de hoteles.
Investigadores han identificado una nueva campaña de TA558 que utiliza scripts generados por Inteligencia Artificial (IA) para automatizar y agilizar partes del ataque, facilitando la creación de loaders y downloaders.
Los correos de phishing muestran temas relacionados con facturas y solicitudes de empleo, en español o portugués. Estos correos contienen enlaces fraudulentos que redirigen a sitios de almacenamiento de documentos, desde donde se ejecutan scripts maliciosos. Finalmente, se descarga la carga final, un malware llamado Venom RAT.
Venom RAT: el malware que lo hace todo
Venom RAT es un troyano de acceso remoto que tiene varias funciones peligrosas:
- Evasión de defensas: Detecta procesos de seguridad y análisis forense cada 50 ms para terminarlos. También se marca como un proceso crítico en algunos casos y persiste en el sistema a través del registro de Windows.
- Control remoto: Incluye un módulo HVNC (control remoto oculto) y un stealer de credenciales.
- Propagación: Se puede propagar a través de unidades USB.
- Espionaje: Desactiva Windows Defender, borra registros de eventos para dificultar el análisis y altera tareas programadas.
El objetivo final del ataque es robar datos de tarjetas de crédito de los huéspedes y de agencias de viajes en línea.
Recomendaciones
- Capacita a tu personal: Entrena a los empleados para que detecten correos falsos con facturas o solicitudes de empleo sospechosas. Enséñales a verificar los enlaces antes de hacer clic.
- Bloquea la ejecución de scripts: Usa la vista protegida en documentos adjuntos y deshabilita la ejecución automática de scripts.
- Limita los privilegios: Otorga permisos de administrador solo cuando sea estrictamente necesario y controla el acceso a dispositivos USB.
- Refuerza la seguridad: Mantén tus antivirus y soluciones de seguridad de endpoints (EDR) actualizadas para detectar RATs y comportamientos sospechosos, como la terminación de procesos de seguridad.
