Ataque hacker mira hotéis no Brasil para roubar dados de cartões de hóspedes

Por Lillian Sibila Dala Costa • Editado por Jones Oliveira | 24/09/2025 às 09:10

Compartilhe:

Um novo agente malicioso, conhecido como TA558, foi ligado a uma série de ataques de trojans de acesso remoto (RAT) em hotéis no Brasil e na América Latina, atuando no último trimestre numa campanha sob o título de RevengeHotels. As infecções foram estudadas e descritas pela Kaspersky.

Segundo os especialistas, são usados e-mails de phishing imitando recibos e outros documentos para levar vírus VenomRAT via JavaScript e PowerShell, com grande parte do código aparentando ter sido gerado por modelos de IA, como o ChatGPT.

VenomRAT nos hotéis brasileiros

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

Continua após a publicidade

Os pesquisadores da Kaspersky lembram que a RevengeHotels tem sido vista em atividade desde 2015, mirando principalmente agências de viagem, hotéis e demais serviços hospitaleiros na América Latina. No início, eram usados ataques por e-mails com arquivos Word, Excel e PDF que exploravam uma falha de execução de código remoto no Microsoft Office — CVE-2017-0199 —, conseguindo levar os vírus Revenge RAT, NjRAT, NanoCoreRAT, 888 RAT e ProCC aos computadores.

Em seguida, os ataques passaram a incorporar outros trojans de acesso remoto, nominalmente Agent Tesla, AsyncRAT, FormBook, GuLoader, Loda RAT, LokiBot, Remcos RAT, Snake Keylogger e Vjw0rm. O objetivo, desde o início, tem sido roubar dados de cartão de crédito de hóspedes guardados no sistema dos hotéis, bem como de agências de viagem virtuais como o Booking.com.

Nos mais recentes ataques, os e-mails de phishing já vinham escritos em português e espanhol, imitando reservas de hotéis e candidaturas de emprego para fazer funcionários clicarem nos links maliciosos. Isso leva ao download de payloads em WScript e JavaScript. Grandes trechos de código comentado e o seu formato indicam o uso de IA na criação dos scripts.

A principal função do código malicioso é carregar mais scripts que facilitam a infecção, incluindo um PowerShell que busca um baixador chamado cargajecerrr.txt de um servidor externo. Ele baixa mais dois payloads, responsáveis por lançar o VenomRAT. Esse malware é uma ferramenta comercial que vem sendo vendida em assinaturas mensais de US$ 350 (cerca de R$ 1.850) ou vitalícias de US$ 650 (R$ 3.440).

O vírus é equipado com ferramentas de roubos de dados e age como um proxy reverso, com vários mecanismos para impedir sua interrupção. Ele modifica a Lista de Acesso de Controle Discricionário (DACL) para remover qualquer permissão que possa interferir com seu funcionamento. Um loop ainda checa se o processo do malware está rodando a cada 50 milissegundos, deixando-o ativo novamente no caso de ter sido fechado.

O loop mira nos processos rodados por analistas de segurança e administradores do sistema para monitorar atividades suspeitas. A ferramenta ainda consegue colocar persistência no host usando o Registro do Windows, fazendo o malware rodar novamente cada vez que seu processo não é encontrado na lista de programas ativos.

Continua após a publicidade

Caso tenha conseguido privilégios elevados, ele usa o token SeDebugPrivilege e marca a si mesmo como processo crítico do sistema, resistindo a qualquer tentativa de encerramento. Ele também força o PC a continuar ligado e evita entrar no modo Suspensão.

Por fim, o VenomRAT ainda consegue se espalhar por USB e fechar o antivírus nativo Windows Defender, mexendo no agendador de tarefas e no registro do computador. Segundo a Kaspersky, isso mostra o avanço das habilidades da RevengeHotels e a ajuda de LLMs na modificação contínua das táticas de phishing.

Ataque hacker mira hotéis no Brasil para roubar dados de cartões de hóspedes

VenomRAT nos hotéis brasileiros

Leia mais: