Il gruppo di cybercriminali noto come TA558 è stato recentemente collegato a una nuova ondata di attacchi informatici mirati contro hotel in Brasile e in altri paesi di lingua spagnola, sfruttando tecniche avanzate basate sull'intelligenza artificiale. Questi attacchi si distinguono per l'utilizzo di script generati con modelli linguistici di grandi dimensioni (LLM), che permettono di creare codici malevoli sempre più sofisticati e difficili da rilevare dai sistemi di sicurezza tradizionali.

Secondo le ricerche dei laboratori Kaspersky

L’attività di TA558 si inserisce nel cluster RevengeHotels, operativo dal 2015 e specializzato nel compromettere sistemi informatici nel settore dell’ospitalità e del turismo in America Latina. La tecnica principale di attacco resta il phishing: le vittime ricevono email, spesso in portoghese o spagnolo, che simulano prenotazioni alberghiere o candidature di lavoro, inducendole a cliccare su link fraudolenti che portano all’esecuzione di payload dannosi.

Script basati su intelligenza artificiale e Venom RAT

La novità più rilevante di questa recente campagna è l’impiego di script JavaScript e PowerShell generati tramite intelligenza artificiale, caratterizzati da commenti e strutture tipiche degli output di LLM. Questi script fungono da loader per altri componenti malevoli, tra cui il temuto Venom RAT. Questo strumento, basato sul noto Quasar RAT e venduto come soluzione commerciale per il controllo remoto, consente agli attaccanti di rubare dati sensibili, agire come proxy inverso e mantenere la persistenza nel sistema compromesso.

Funzioni avanzate di Venom RAT

Venom RAT dispone di avanzate funzioni anti-kill che impediscono la sua terminazione, modificando le liste di controllo degli accessi e monitorando costantemente i processi in esecuzione per bloccare quelli associati ad attività di analisi o sicurezza. Se il malware viene eseguito con privilegi elevati, può persino impostare il proprio processo come critico di sistema e impedire che il computer vada in modalità sleep, oltre a tentare la disattivazione di Microsoft Defender e altre protezioni tramite manipolazione del registro di sistema e delle attività pianificate.

Obiettivi e rischi per il settore hospitality

L’obiettivo principale di questi attacchi rimane il furto di dati delle carte di credito dei clienti degli hotel e delle agenzie di viaggio online, come Booking.com. L’adozione dell’intelligenza artificiale da parte dei criminali informatici rappresenta un salto di qualità nel phishing e nella generazione di codice malevolo, aumentando l’efficacia delle campagne e la difficoltà di difesa per le aziende del settore hospitality.