Лаборатория Касперского сообщает о волне кибератак на отели с использованием ИИ

Ресерчеры из Лаборатории Касперского раскрывают новую волну атак RevengeHotels с использованием LLM и VenomRAT частной версии QuasarRAT с открытым исходным кодом Группа также известная как TA558 действует с 2015 года и занимается кражей данных кредитных карт гостей отелей и путешественников Основной метод работы заключается в отправке электронных писем с фишинговыми ссылками которые перенаправляют жертв на веб сайты имитирующие хранилища документов и загружающие файлы скриптов для заражения целевых компьютеров В конечном итоге вредоносная нагрузка включает в себя различные RAT которые позволяют злоумышленникам осуществлять управление скомпрометированными системами кражу конфиденциальных данных а также выполнять другие вредоносные действия В предыдущих кампаниях группа задействовала вредоносные электронные письма с вложенными документами Word Excel или PDF Некоторые из них эксплуатировали уязвимость CVE 2017 0199 загружая скрипты VBS или PowerShell для установки модифицированных версий различных семейств RAT таких как RevengeRAT NanoCoreRAT NjRAT 888 RAT и вредоносного ПО ProCC Эти кампании затронули отели во многих странах Латинской Америки включая Бразилию Аргентину Чили и Мексику а также службы регистрации и обслуживания гостей по всему миру особенно в России Беларуси Турции и других странах Позже RevengeHotels расширила свой арсенал добавив XWorm RAT с командами для управления кражи данных и сохранения активности среди прочего В ходе расследования кампании по распространению XWorm исследователи ЛК выявили достоверные признаки того что RevengeHotels также использовала RAT инструмент DesckVBRAT в своих операциях Летом 2025 года в поле зрения ЛК попали новые кампании нацеленные на тот же сектор с использованием всё более сложных имплантов и инструментов Злоумышленники продолжают использовать фишинговые письма с темами счетов фактур для доставки имплантов VenomRAT через загрузчики JavaScript и PowerShell Значительная часть исходного кода вредоноса и загрузчика в этой кампании по видимому сгенерирована LLM агентами Так что злоумышленники теперь активно используют ИИ для совершенствования своих возможностей Основными целями новых атак являются бразильский гостининичный сектор но также может включать цели в испаноязычных странах или регионах Благодаря всестороннему анализу схем атак и TTPs злоумышленника исследователи ЛК с высокой степенью уверенности установили что ответственным за них действительно является RevengeHotels В целом как отмечают исследователи с помощью агентов LLM группа смогла создавать и модифицировать фишинговые приманки расширяя свои атаки на новые регионы И если веб сайты используемые для этих атак и начальная полезная нагрузка постоянно меняются то конечная цель остаётся прежней внедрение RAT Технический разбор атак и инструментария а также IOCs в отчете

Лаборатория Касперского идёт волна кибератак на отели с использованием ИИ 18 сентября C NEWS Летом 2025 г эксперты Kaspersky GReAT Глобального центра исследования и анализа угроз Лаборатории Касперского обнаружили новую волну кибератак группы RevengeHotels Злоумышленники атакуют информационные системы отелей в разных странах с целью кражи данных банковских карт постояльцев Группа активна с 2015 г и с тех пор усовершенствовала свои методы Отличительной особенностью этой кампании стало то что многие из новых образцов вредоносного ПО были созданы с применением ИИ Основные мишени кибератак гостиницы в Бразилии однако цели выявлены и в нескольких испаноговорящих странах Аргентине Боливии Чили Коста Рике Мексике Испании В предыдущих кампаниях группа RevengeHotels атаковала пользователей в России Белоруссии Турции Малайзии Италии и Египте Как происходит заражение Злоумышленники рассылают фишинговые письма которые маскируются под запросы о бронировании номера отеля или обращения соискателей о поиске работы в сфере гостевого сервиса Они содержат вложение со ссылкой на вредоносный сайт Если перейти по ней на устройство загрузится троянец VenomRAT позволяющий удалённо контролировать скомпрометированные системы красть данные банковских карт постояльцев и другую конфиденциальную информацию Чтобы не стать жертвой таких атак Лаборатория Касперского рекомендует владельцам и ИТ отделам отелей проводить тренинги по кибербезопасности для сотрудников обучать их распознавать техники социальной инженерии например с помощью платформы Kaspersky Automated Security Awareness Platform для комплексной безопасности использовать решение для защиты рабочих мест например такое как Kaspersky Security для бизнеса а в дополнение к нему специализированный инструмент для корпоративной почты Kaspersky Security для почтовых серверов который автоматически будет отправлять подобные письма в спам Чтобы защитить свои данные во время поездок и проживания в отелях Лаборатория Касперского рекомендуют пользователям обращать внимание на репутацию онлайн ресурсов при заказе билетов пользоваться проверенными и известными платформами бронирования сайтами авиакомпаний и отелей остерегаться незнакомых или подозрительных площадок предлагающих невероятно низкие цены или требующих предоставления избыточной персональной информации проверять подлинность сайтов прежде чем совершать какие либо операции или предоставлять личные данные дважды просматривать URL адрес на наличие безопасного соединения не вводить свои данные на ресурсах с опечатками или необычными доменными именами использовать на всех устройствах надёжное защитное решение с защитой от онлайн мошенничества и фишинга например Kaspersky Premium

RevengeHotels атакует информационные системы отелей применяя ИИ Эксперты Лаборатории Касперского обнаружили новую волну атак группировки RevengeHotels Отличительной особенностью этой кампании стало то что многие из новых образцов вредоносного ПО были созданы с применением ИИ xakep ru 2025 09 19 revengehotels llm