loaderrat - RunkIntel

# LoaderRAT > [!high] RAT da Campanha RevengeHotels - Setor de Hospitalidade LATAM > LoaderRAT (também rastreado como DesckVBRAT) é um trojan de acesso remoto customizado implantado pela campanha RevengeHotels (TA558) contra hotéis, pousadas e operadoras de turismo na América Latina desde 2015, com foco no Brasil. Rouba dados de cartões de crédito de sistemas de recepção e plataformas de reservas como Booking.com. ## Visão Geral LoaderRAT (rastreado também como DesckVBRAT) é um trojan de acesso remoto customizado implantado pela campanha [[revengehotels-campaign]] (TA558), ativa desde 2015 contra o setor de hospitalidade da América Latina. O objetivo é o roubo de dados de cartões de crédito de hóspedes armazenados em sistemas de recepção e plataformas de reservas como Booking.com, Expedia e similares. A cadeia de infecção começa com e-mails de phishing temáticos — fake reservations, currículos ou solicitações de orçamento — que entregam scripts JavaScript ou PowerShell para baixar o payload. O LoaderRAT é acompanhado pelo módulo ScreenBooking, especializado em capturar dados digitados em formulários de reserva online. Campanhas documentadas em 2025 pela Kaspersky revelaram uso de código gerado por LLMs para escalar a produção de lures em português, com dezenas de hotéis brasileiros comprometidos em pelo menos oito estados. O Brasil é o país mais afetado nas ondas recentes, confirmando que a campanha tem foco explícito no mercado de hospitalidade brasileiro. > [!latam] Impacto Direto no Brasil > O LoaderRAT e a campanha [[revengehotels-campaign]] são ameaças com impacto **documentado e direto** ao Brasil. Dezenas de hotéis brasileiros em pelo menos **oito estados** foram comprometidos desde 2015, com a onda mais recente em 2025 usando IA para escalar lures em português. O objetivo é capturar dados de cartões de crédito de hóspedes nos sistemas de recepção. O setor de turismo e hospitalidade brasileiro — avaliado em bilhões de reais anuais — é alvo de alto valor para este grupo de cibercrime com foco regional pan-LATAM. ## Descrição O LoaderRAT é um componente de malware associado à campanha [[revengehotels-campaign]], operada pelo grupo rastreado como TA558 (também referênciado como RevengeHotels). Esta campanha está ativa desde **2015** e foca específicamente no setor de hospitalidade da América Latina - hotéis, pousadas, hostels e agências de turismo - com o objetivo de roubar dados de cartões de crédito de hóspedes armazenados nos sistemas de recepção (front-desk) e plataformas de reservas online como Booking.com, Expedia e similares. A cadeia de infecção da campanha RevengeHotels começa com **emails de phishing** temáticos - fake reservations, confirmações de estadias, solicitações de orçamento ou arquivos disfarçados de currículos enviados para o email de reservas dos hotéis. Esses emails contêm links ou anexos que direcionam a sites falsificados hospedados em domínios com temática portuguesa/brasileira, de onde são baixados scripts JavaScript ou PowerShell. Em variantes mais recentes (2025), a Kaspersky documentou uso de **código gerado por LLMs/IA** com comentários detalhados - indicando que os operadores estão acelerando o desenvolvimento de lures com assistência de inteligência artificial. O LoaderRAT em si é um componente .NET ou VB obfuscado que serve como loader de segunda etapa, frequentemente acompanhado por um módulo customizado chamado **ScreenBooking** - especializado em monitorar atividade do navegador e capturar dados digitados em formulários de reserva online, especialmente informações de cartão de crédito. A cadeia completa de payloads da campanha inclui variantes como [[revengehat-rat|RevengeRAT]], [[nanocore-rat|NanoCoreRAT]], [[njrat|NjRAT]], 888 RAT, XWorm e VenomRAT (QuasarRAT), sugerindo que múltiplos atores compartilham o arsenal da campanha. Para o [[financial|setor financeiro]] e de turismo brasileiro, o LoaderRAT e a campanha RevengeHotels representam uma ameaça contínua e específica ao mercado local. O Brasil foi o país mais afetado na última onda documentada (2025), com dezenas de hotéis comprometidos em oito estados. O uso de português nativo nos lures e de domínios com aparência legítima brasileira torna a detecção por usuários finais particularmente desafiadora. ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1566-002-spearphishing-link\|T1566.002]] | Phishing com links para sites falsos de reserva | | Execution | [[t1059-001-powershell\|T1059.001]] | PowerShell para download e execução do payload | | Execution | [[t1059-007-javascript\|T1059.007]] | JavaScript como downloader inicial | | Defense Evasion | [[t1140-deobfuscate-decode-files\|T1140]] | Decodificação Base64 de payloads em memória | | Defense Evasion | [[t1055-process-injection\|T1055]] | Injeção de processo (runpe in-memory loader) | | Collection | [[t1113-screen-capture\|T1113]] | Monitoramento de tela para captura de dados bancários | | Collection | [[t1056-001-keylogging\|T1056.001]] | Keylogging em formulários de reserva online | | Exfiltration | [[t1041-exfiltration-over-c2\|T1041]] | Exfiltração de dados de cartão via C2 RAT | ## Grupos que Usam - [[revengehotels-campaign|RevengeHotels]] / TA558 - campanha principal associada ao LoaderRAT - O arsenal da campanha é compartilhado por múltiplos operadores no LATAM ## Detecção - Monitorar processos `PowerShell.exe` ou `wscript.exe` gerados a partir de clientes de email (Outlook, Thunderbird) com downloads de URLs externas - vetor primário da campanha RevengeHotels - Alertar para criação de arquivos `.txt` codificados em Base64 em diretórios temporários seguida de execução de payload .NET - padrão específico do loader da campanha (`venumentrada.txt`, `runpe.txt`) - Implementar regras de **firewall de email** bloqueando anexos `.js`, `.lnk` e arquivos comprimidos com executáveis em emails externos para departamentos de reservas e recepção - Detectar módulos de monitoramento de navegador (ScreenBooking) via análise comportamental: processos não-browser lendo memória de processos Chrome/Firefox - Treinar específicamente a equipe de **recepção e reservas** de hotéis sobre phishing temático - currículos falsos, confirmações de reserva, solicitações de grupo ## Relevância LATAM/Brasil O LoaderRAT e a campanha [[revengehotels-campaign]] são ameaças com impacto documentado e direto ao Brasil. Dezenas de hotéis brasileiros distribuídos em pelo menos oito estados foram comprometidos em ondas documentadas desde 2015, com a onda mais recente de 2025 usando IA para escalar a geração de lures em português. O objetivo final é sempre o mesmo: capturar dados de cartões de crédito de hóspedes nacionais e internacionais nos sistemas de recepção de hotéis e nas sessões de reserva via plataformas como Booking.com. O [[financial|setor de turismo e hospitalidade]] brasileiro, avaliado em bilhões de reais anuais, representa um alvo de alto valor para este grupo de cibercrime com foco regional. Argentina, Chile e México também foram afetados, confirmando o alcance pan-LATAM da operação. ## Referências - [1](https://securelist.com/revengehotels-attacks-with-ai-and-venomrat-across-latin-america/117493/) Kaspersky Securelist - RevengeHotels com IA e VenomRAT (2025) - [2](https://securelist.com/revengehotels/95229/) Kaspersky Securelist - RevengeHotels Campanha Original (2019) - [3](https://malpedia.caad.fkie.fraunhofer.de/actor/revengehotels) Malpedia - RevengeHotels Actor Profile - [4](https://securityaffairs.com/94500/cyber-crime/revengehotels-campaign-hospitality-industry.html) Security Affairs - RevengeHotels Campaign (2019) - [5](https://www.broadcom.com/support/security-center/protection-bulletin/revengehotels-new-tactics-deliver-potent-venomrat) Broadcom - RevengeHotels New Tactics (2025)