Tehdit oyuncusu olarak bilinen TA558 Brezilya’daki otelleri ve İspanyolca konuşan pazarları ihlal etmek için Venom Rat gibi çeşitli uzaktan erişim Truva atları (sıçanlar) sunan yeni bir saldırılara atfedildi.
Rus siber güvenlik satıcısı Kaspersky, 2025 yazında gözlemlenen aktiviteyi, RevengeHotels olarak izlediği bir kümeyi izliyor.
Şirket, “Tehdit aktörleri, JavaScript yükleyicileri ve PowerShell indiricileri aracılığıyla Venom Sıçan implantlarını teslim etmek için fatura temaları olan kimlik avı e -postaları kullanmaya devam ediyor.” Dedi. “Bu kampanyadaki ilk infektör ve indirici kodunun önemli bir kısmı büyük dil modeli (LLM) ajanları tarafından üretiliyor gibi görünüyor.”
Bulgular, siber suçlu gruplar arasında yapay zekadan (AI) yararlanmak için yeni bir eğilim göstermektedir.
En az 2015’ten beri aktif olduğu bilinen RevengeHotels, tehlikeye atılan sistemlere kötü amaçlı yazılım kurmak amacıyla Latin Amerika’daki misafirperverlik, otel ve seyahat organizasyonları geçmişine sahiptir.
Tehdit oyuncusunun kampanyalarının erken yinelemelerinin, bazıları Microsoft Office’te (CVE-2017-0199) bilinen bir uzaktan kod yürütme kusurunun (CVE-2017-0199) Revenge Rat, NJRAT, 888 sıçanının konuşlandırılmasını tetiklemek için e-postaları ekli olarak dağıttığı tespit edildi.
Proofpoint ve pozitif teknolojiler tarafından belgelenen sonraki kampanyalar, tehdit oyuncunun ajan Tesla, Asyncrat, Formbook, Guloader, Loda Rat, Lokibot, Remcos Rat, Snake Keylogger ve VJW0RM gibi çok çeşitli sıçanları sunmak için saldırı zincirlerini hassaslaştırma yeteneğini göstermiştir.
Saldırıların temel amacı, otel sistemlerinde depolanan konuklardan ve gezginlerden gelen kredi kartı verilerinin yanı sıra Booking.com gibi popüler çevrimiçi seyahat acentelerinden (OTA) alınan kredi kartı verilerini yakalamaktır.
Kaspersky’ye göre, en son kampanyalar, Portekizce ve İspanyol Rulman Otel Rezervasyonunda yazılmış kimlik avı e -postaları göndermeyi ve alıcıları hileli bağlantılara tıklamak için kandırmak için cazibesini göndererek bir WScript JavaScript yükü indirilmesine neden oluyor.
Şirket, “Senaryo, yoğun yorumlanan kodu ve bu tür teknolojiler tarafından üretilenlere benzer bir formatla kanıtlandığı gibi, büyük bir dil modeli (LLM) tarafından oluşturuluyor gibi görünüyor.” Dedi. “Komut dosyasının birincil işlevi, enfeksiyonu kolaylaştıran sonraki komut dosyalarını yüklemektir.”
Bu, harici bir sunucudan “cargajecerrr.txt” adlı bir indiriciyi alan ve PowerShell üzerinden çalıştıran bir PowerShell komut dosyası içerir. İndirici, adından da anlaşılacağı gibi, iki ek yük getirir: Venom Rat kötü amaçlı yazılımlarını başlatmaktan sorumlu bir yükleyici.
Açık kaynaklı Quasar Rat’a dayanarak, Venom Rat, ömür boyu lisans için 650 $ karşılığında sunulan ticari bir araçtır. HVNC ve Stealer bileşenleri ile kötü amaçlı yazılımları birleştiren bir aylık abonelik 350 $ ‘dır.
Kötü amaçlı yazılım, Sifon verilerine donatılmıştır, ters bir proxy olarak hareket eder ve kesintisiz çalıştığından emin olmak için öldürme önleyici bir koruma mekanizmasına sahiptir. Bunu başarmak için, işleyişine müdahale edebilecek izinleri kaldırmak için çalışan İşlem Süreci ile ilişkili İsteğe Bağlı Erişim Kontrol Listesi’ni (DACL) değiştirir ve sabit kodlu işlemlerle eşleşen herhangi bir çalışma işlemini sona erdirir.
Kaspersky, “Bu öldürme önleminin ikinci bileşeni, sürekli bir döngü çalıştıran ve her 50 milisaniyede çalışan süreçler listesini kontrol eden bir iş parçacığı içeriyor.” Dedi.
“Döngü, güvenlik analistleri ve sistem yöneticileri tarafından ana bilgisayar etkinliğini izlemek veya diğer görevlerin yanı sıra .NET ikili dosyalarını analiz etmek için yaygın olarak kullanılan süreçleri hedefler. Sıçan bu işlemlerden herhangi birini tespit ederse, kullanıcıyı istemeden onları sonlandırır.”
Krill karşıtı özelliği, Windows kayıt defteri değişikliklerini kullanarak ana bilgisayar üzerinde kalıcılık kurma ve ilişkili işlem, çalışma işlemleri listesinde bulunmadığında kötü amaçlı yazılımları yeniden çalıştırma yeteneği ile birlikte gelir.
Kötü amaçlı yazılım yüksek ayrıcalıklarla yürütülürse, Sedebugprivilege tokenini ayarlamaya devam eder ve kendini kritik bir sistem süreci olarak işaretler, böylece süreci sonlandırma girişimi olsa bile devam etmesine izin verir. Ayrıca bilgisayarın ekranını devam etmeye zorlar ve uyku moduna girmesini önler.
Son olarak, Venom sıçan artefaktları, çıkarılabilir USB sürücüleri yoluyla yayılma ve Microsoft Defender Antivirus ile ilişkili süreci sonlandırmak ve güvenlik programını devre dışı bırakmak için görev zamanlayıcı ve kayıt defterine kurcalamaya yönelik yetenekleri içerir.
Kaspersky, “RevengeHotels, misafirperverliği ve turizm sektörlerini hedeflemek için yeni taktikler geliştirerek yeteneklerini önemli ölçüde artırdı.” Dedi. Diyerek şöyle devam etti: “LLM ajanlarının yardımıyla grup, kimlik avı yemini üretip değiştirerek saldırılarını yeni bölgelere genişletebildi.”