Основы Интернет - технологий.

Эксперты «Лаборатории Касперского» обнаружили новую волну атак группировки RevengeHotels. Отличительной особенностью этой кампании стало то, что многие из новых образцов вредоносного ПО были созданы с применением ИИ. RevengeHotels (она же TA558) активна с 2015 года и специализируется на похищении данных кредитных карт постояльцев отелей и путешественников. Обычно хакеры рассылают письма с фишинговыми ссылками, которые перенаправляют посетителей на сайты, замаскированные под хранилища документов. С этих сайтов загружаются вредоносные скрипты, которые заражают целевые компьютеры. Финальные полезные нагрузки представляют собой различные трояны удаленного доступа (RAT), позволяющие злоумышленникам управлять скомпрометированными системами, похищать конфиденциальные данные, закрепляться в инфраструктуре и так далее. Летом 2025 года специалисты обнаружили новые атаки группы, нацеленные на отели, с применением все более сложных имплантов и инструментов. Основными мишенями группы стали гостиницы в Бразилии, однако цели выявлены и в нескольких испаноговорящих странах — Аргентине, Боливии, Чили, Коста-Рике, Мексике, Испании. В предыдущих кампаниях группа RevengeHotels атаковала пользователей в России, Беларуси, Турции, Малайзии, Италии и Египте. В этот раз атакующие продолжили рассылать фишинговые письма (замаскированные под счета-фактуры, запросы о бронировании номера отеля или обращения соискателей о поиске работы в сфере гостевого сервиса) для доставки VenomRAT с помощью загрузчиков на основе jаvascript и PowerShell. Как показал анализ, значительная часть кода для начального заражения и загрузки имплантов в этих кампаниях могла быть сгенерирована с помощью LLM-агентов. Исследователи полагают, что хакеры активно используют ИИ-технологии для расширения своих возможностей. Отмечается, что VenomRAT представляет собой обновленную версию опенсорсного трояна QuasarRAT, который впервые обнаружили в середине 2020 года. VenomRAT распространяется в даркнете по цене до 650 долларов США за пожизненную лицензию. Несмотря на утечку исходного кода VenomRAT, он по-прежнему продается и используется злоумышленниками. «Хотя почерк RevengeHotels остается узнаваемым, злоумышленники совершенствуют свои методы. В частности, значительная часть вредоносного кода предположительно была написана с использованием больших языковых моделей (LLM). Это свидетельствует об активном применении ИИ-технологий для повышения эффективности кибератак. Важно понимать, что банковские и другие конфиденциальные данные могут оказаться под угрозой даже на сайтах крупных и известных отелей, поэтому необходимо всегда проявлять осторожность», — комментирует Дмитрий Галов, руководитель Kaspersky GReAT в России.