RevengeHotels, un grupo de amenazas de motivación financiera activa desde 2015, ha intensificado sus operaciones contra las organizaciones de hospitalidad al integrar el código generado por el modelo de idioma grande en su cadena de infecciones.
Inicialmente conocido por implementar familias de ratas a medida como Revengerat y Nanocorerat a través de correos electrónicos de phishing dirigidos a los sistemas de la fiesta frontal del hotel, las últimas campañas del grupo giran en la entrega de implantes VENOMRAT a través de cargadores de JavaScript generados dinámicamente y descargadores de PowerShell.
Estos sofisticados infectores iniciales imitan los estándares de desarrollo profesional, integrando comentarios detallados y marcadores de posición variables que sugieren la generación automatizada de código.
Un correo electrónico de phishing sobre una confirmación de reserva (fuente – SecurElist)
En los últimos meses, los operadores se han dirigido específicamente a las redes de hospitalidad brasileña, aunque los señuelos en español han ampliado el alcance a los mercados de habla hispana en América Latina.
Los correos electrónicos se disfrazan de notificaciones de factura atrasadas o aplicaciones de empleo falsas atraen a los destinatarios a visitar dominios maliciosos, que alojan los scripts nombrados en un formato rotativo “Fat {Number} .js”: portugués para la “factura”, para iniciar el proceso de descarga.
Tras la ejecución, el cargador decodifica un amortiguador ofuscado y escribe un archivo de PowerShell con un nombre de archivo de tiempo de tiempo, asegurando que cada muestra sigue siendo única y evade detecciones basadas en la firma.
Los analistas de Securelist notaron que estos nombres de archivo rotativos y la coherencia del código generado marcan una desviación de los esfuerzos de ofuscación manuales anteriores del grupo.
Una vez que se ejecuta PowerShell Stub, recupera dos cargas útiles codificadas en Base64: hvenumrada.txt y runpe.txt, de servidores remotos.
El primer archivo sirve como un cargador liviano, mientras que el segundo ejecuta la carga útil VenomRat directamente en la memoria.
Investigadores de seguridad identificado que el cargador emplea una rutina de desobfuscación simple, como se muestra en la Figura 1, para decodificar e invocar el implante sin escribir el ejecutable final al disco.
Código generado por IA en un implante malicioso en comparación con el código personalizado (fuente – Securelist)
El implante Venomrat en sí se basa en la base de código cuasarrat de código abierto, aumentándolo con escritorio oculto (HVNC), módulos de robo de archivos y primitivas de derivación UAC.
Los datos de configuración se cifran con AES-CBC y se autentican a través de HMAC-SHA256, utilizando claves distintas para el descifrado y la verificación de integridad.
Las rutinas de redes serializan los paquetes específicos de la acción, los compriman con LZMA y cifre con AES-128 antes de la transmisión al servidor de comando y control.
Paquetes Venomrat en la web oscura (fuente – Securelist)
En particular, VenomRat integra túneles basados en NGROK para exponer servicios RDP y VNC, mejorando las capacidades de acceso remoto incluso a través de restricciones NAT o firewall.
Mecanismo de infección
El éxito de la cadena de infección depende de la capacidad inicial del cargador de JavaScript para orquestar la entrega de carga útil de varias etapas mientras combina claridad generada por IA con ofuscación manual.
Después de que el usuario del correo electrónico de phishing haga clic en el enlace malicioso, el navegador de la víctima obtiene un archivo WScript JS (FAT146571.js, que decodifica inmediatamente una mancha incrustada:————
var decoded = atob (“sgdohbzqwpl …”); // Escribir PowerShell decodificado en el disco var fso = new ActiveXObject (“scripting.filesystemObject”); var ps1 = fso.createTextFile (“sgdohbzqwplkxcaothxdbglnqjlzcgbovglh_” + date.now () + “.ps1”, true); PS1.WriteLine (decodificada); ps1.close (); // Ejecutar el script de PowerShell en silencio wscript.createObject (“wscript.shell”). Run (“powershell -ExecutionPolicy bypass -file” + ps1.name, 0, falso);
Este segmento ejemplifica el papel de la IA en la producción de código limpio y mantenible que, sin embargo, realiza acciones maliciosas.
Al generar nombres de archivo únicos basados en marcas de tiempo y evitar artefactos persistentes, el cargador evade antivirus convencional y herramientas forenses.
La ejecución trifásica (decisión, escritura y ejecución) se asegura que cada instancia de infección difiere, lo que complica las actualizaciones de la firma de detección.
A través de esta combinación de secuencias de comandos y capacidades avanzadas de ratas avanzadas, RevengeHotels continúa refinando su arsenal contra los entornos de Windows, planteando un desafío creciente para los defensores de seguridad cibernética.
¡Webinar gratuito en vivo en nuevas tácticas de malware de nuestros analistas! Aprenda técnicas de detección avanzada -> Regístrese gratis
