venomrat - RunkIntel

# VenomRAT > [!danger] Principal Arma do TA558 contra Hoteis Brasileiros - Creator Preso em Nov 2025 > VenomRAT foi a ferramenta primaria do [[ta558|TA558]] (RevengeHotels) em campanhas de roubo de dados de cartao de credito contra hoteis brasileiros e LATAM. Em junho-agosto 2025, a Kaspersky documentou nova onda de ataques onde o [[ta558|TA558]] usou scripts gerados por IA (LLMs) para criar lures mais convincentes em portugues e espanhol. Em 13 de novembro de 2025, a Operation Endgame derrubou a infraestrutura do VenomRAT e prendeu o criador na Grecia. O TA558 já migrou para Remcos RAT e XWorm como alternativas. ## Visão Geral [[venomrat|VenomRAT]] e um RAT baseado em fork do projeto open-source [[s0262-quasarrat|Quasar RAT]], com componentes adicionais de outras fontes para expandir funcionalidades. Disponível desde 2020 (observado pela Proofpoint em 2022), o VenomRAT era vendido em dark web com licenca vitalicia por até $650, com repositorios `remotesystem.in` (distribuição/advertising) e `venomlicense.com` (licenciamento) - ambos derrubados pela Operation Endgame em novembro de 2025. O [[ta558|TA558]] (rastreado desde 2018 como "RevengeHotels" pela Kaspersky) era o principal operador do VenomRAT, responsavel por 58% de toda atividade VenomRAT no telemetria da Proofpoint. O grupo focava em hospitais, hoteis e turismo em Brasil, Argentina, Bolivia, Chile, Costa Rica, Mexico e Espanha - roubando dados de cartao de credito de hospedes armazenados em sistemas de frente de hotel. Em setembro de 2025, a Kaspersky documentou nova onda de campanhas do [[ta558|TA558]] onde o código dos infectors iniciais mostrava evidências de geracao por LLMs - o grupo passou a usar IA para escalar e refinar suas campanhas phishing, expandindo para novos idiomas e regioes. | Campo | Detalhe | |-------|---------| | **Tipo** | Remote Access Trojan (RAT) - fork do Quasar RAT | | **Linguagem** | C# (.NET) | | **Preco** | Ate $650 licenca vitalicia | | **Takedown** | Operation Endgame, 13 nov 2025 | | **Creator** | Preso na Grecia (nov 2025) | | **Status** | Inativo - infraestrutura derrubada | | **Plataformas** | Windows | | **Config crypto** | AES + PKCS #5 v2.0 com HMAC-SHA256 | ## Como Funciona **Entrega via JavaScript loader:** As campanhas recentes do [[ta558|TA558]] (2025) usam e-mails phishing com tema de fatura contendo URLs para arquivos JavaScript. Se executado, o JavaScript spawna PowerShell que baixa e executa o VenomRAT. Os e-mails sao direcionados específicamente para enderecos de reservas de hotel. **Lures AI-gerados:** Em campanhas de junho-agosto 2025, a Kaspersky identificou que o código dos downloaders e infectors iniciais continha padoes consistentes com geracao por LLM - estrutura de código atipicamente limpa, comentarios consistentes e ausência de erros idiomaticos em portugues. Esta evolução permite ao TA558 gerar lures convincentes em múltiplos idiomas sem expertise linguistica interna. **Dominios com tematica portuguesa:** A infraestrutura de entrega usa dominios de hosting legitimos com nomes em portugues (ex: reservas-confirmar.com, pagamento-hotel.net) para maximizar credibilidade com alvos brasileiros. **Configuração cifrada AES/HMAC:** Os dados de configuração do implant (enderecos C2, portas, configuracoes) sao cifrados com AES e PKCS #5 v2.0, usando duas chaves: uma para decriptacao dos dados e outra para verificação HMAC-SHA256 da autenticidade. Diferentes pares de chaves/IVs sao usados em diferentes partes do código, mas sempre com o mesmo algoritmo AES. **Tunelamento via ngrok:** Uma das funcionalidades diferenciadas do VenomRAT e a instalacao automatica do ngrok na maquina infectada, que cria tunnel exposto na internet. O servidor C2 específica token, protocolo e porta do tunnel, permitindo que RDP e VNC operem pelo tunnel - contornando NAT e firewalls que bloqueiam conexoes de entrada. **HVNC (Hidden VNC):** O VenomRAT implementa desktop VNC oculto que opera sem jánela visivel ao usuario, dando ao operador acesso visual completo ao sistema sem que a vitima perceba qualquer atividade anomala na tela. ## Attack Flow ```mermaid graph TB A["📧 Phishing Fatura Hotel URL para JavaScript loader Lure AI-gerado em PT/ES"] --> B["📜 JavaScript Loader PowerShell downloader Dominios com tema portugues"] B --> C["📦 VenomRAT Payload AES config criptografada Fork do Quasar RAT"] C --> D["📌 Persistência Registry Run key Startup folder"] D --> E["🔧 ngrok Instalado Tunnel RDP/VNC exposto T1572 Protocol Tunneling"] E --> F["📡 C2 via Tunnel HMAC-SHA256 auth HVNC desktop oculto"] F --> G["💳 Roubo Cartao Dados de hospedes Sistemas de frente de hotel"] classDef delivery fill:#e74c3c,stroke:#c0392b,color:#fff classDef chain fill:#f39c12,stroke:#d68910,color:#fff classDef implant fill:#3498db,stroke:#1a5276,color:#fff classDef tunnel fill:#8e44ad,stroke:#7d3c98,color:#fff classDef collect fill:#27ae60,stroke:#1e8449,color:#fff classDef exfil fill:#c0392b,stroke:#922b21,color:#fff class A delivery class B chain class C,D implant class E,F tunnel class G collect ``` ## Timeline de Evolução ```mermaid timeline title VenomRAT - Ascensao e Queda com TA558 2020 : VenomRAT aparece como fork do Quasar RAT : Vendido em dark web como produto "premium" 2022 : Proofpoint detecta VenomRAT em campanhas de e-mail : TA558 adota VenomRAT como payload principal 2024 : Massive phishing campaign LATAM - TA558 : Hoteis em 7+ paises alvo de roubo de cartao 2025 : Junho-agosto - nova onda com código AI-gerado : Kaspersky documenta LLM nos downloaders TA558 2025 : Novembro 13 - Operation Endgame derruba VenomRAT : Creator preso na Grecia - dominios takedown 2025 : TA558 migra para Remcos RAT e XWorm : Atividade VenomRAT nao observada desde setembro 2025 ``` ## TTPs Mapeados | Tática | Técnica | Uso Específico | |--------|---------|---------------| | Acesso Inicial | [[t1566-001-spearphishing-attachment\|T1566.001]] | E-mail phishing com URL para JavaScript loader | | Execução | [[t1059-007-javascript\|T1059.007]] | JavaScript como loader de primeiro estagio | | Execução | [[t1059-001-powershell\|T1059.001]] | PowerShell para download e exec do RAT | | Persistência | [[t1547-001-registry-run-keys\|T1547.001]] | Run key para sobrevivencia a reboot | | Evasão | [[t1036-masquerading\|T1036]] | Dominios com tematica de reservas/pagamentos | | C2 | [[t1572-protocol-tunneling\|T1572]] | ngrok tunnel para expor RDP/VNC pela internet | | C2 | [[t1071-001-web-protocols\|T1071.001]] | Comúnicação C2 via protocolos web | | Credenciais | [[t1555-003-credentials-from-web-browsers\|T1555.003]] | Roubo de credenciais salvas em browsers | | Coleta | [[t1056-001-keylogging\|T1056.001]] | Keylogging para captura de credenciais em tempo real | | Coleta | [[t1113-screen-capture\|T1113]] | HVNC para controle de desktop oculto | | Coleta | [[t1005-data-from-local-system\|T1005]] | Exfiltração de arquivos de valor (cartoes, documentos) | | Exfiltração | [[t1041-exfiltration-over-c2-channel\|T1041]] | Dados de cartao de credito exfiltrados via C2 | ## Relevância LATAM/Brasil O VenomRAT e uma das ameaças mais diretamente documentadas afetando o Brasil: - **Hoteis brasileiros como alvo primario:** O [[ta558|TA558]] identificou o setor hoteleiro brasileiro como alvo central de suas campanhas desde pelo menos 2019. O foco e o roubo de dados de cartao de credito de hospedes armazenados em sistemas de front-desk - afetando diretamente o setor de turismo brasileiro. - **Lures em portugues AI-gerados:** A evolução do TA558 para usar LLMs para gerar lures em portugues torna os phishings mais convincentes para alvos brasileiros, aumentando a taxa de abertura e execução dos loaders. - **Expansao para toda LATAM:** Alem do Brasil, campanhas documentadas atingiram Argentina, Bolivia, Chile, Costa Rica, Mexico e Espanha - demonstrando que toda a industria hoteleira da regiao estava sob pressao desta ameaça. - **Legado tecnico no TA558:** Mesmo após o takedown do VenomRAT, o [[ta558|TA558]] continua ativo usando Remcos RAT e XWorm - os TTPs, infraestrutura e lures que o grupo desenvolveu para VenomRAT foram reutilizados com os novos payloads. ## Detecção e Defesa **Artefatos forenses primarios:** - **Processo ngrok ativo:** Presenca do ngrok em maquinas de sistema de hotel e indicador de alto risco - RDP/VNC sendo tunelado para internet via ngrok indica comprometimento VenomRAT ou similar. - **Dominios de hosting com tema de reservas:** Dominios registrados com nomes de reservas/pagamentos em portugues apontando para hosting legitimo sao padrao de infraestrutura TA558. - **Config AES com dois pares de chaves:** Presenca de configuração binaria com dois blocos AES separados e HMAC-SHA256 e caracteristica do VenomRAT derivado do Quasar. **Event IDs prioritarios:** - **Sysmon Event ID 1 (ProcessCreaté):** `wscript.exe` executando arquivo `.js` baixado de URL - primeiro estagio da cadeia TA558. - **Sysmon Event ID 3 (NetworkConnect):** Qualquer processo estabelecendo tunel para `*.ngrok.io` ou `*.ngrok-free.app`. - **Windows Event ID 4688:** PowerShell com argumentos de download de URL após execução de JavaScript. **Regras de detecção:** - Sigma: `proc_creation_win_wscript_js_download.yml` - wscript.exe com JS remoto. - Sigma: `net_connection_ngrok_tunnel.yml` - conexão para dominios ngrok de processos de usuario. - YARA: Config pattern AES+HMAC do VenomRAT derivado de Quasar. **Mitigacoes:** - Bloquear execução de JavaScript por wscript.exe via GPO em ambientes corporativos. - Monitorar e bloquear conexoes para servicos de tunneling (ngrok, localtunnel) em firewall perimetral. - Implementar DLP em sistemas de front-desk de hotel para alertar sobre exfiltração de dados de cartao. - Treinar equipes de hotel sobre reconhecimento de phishing em temas de fatura e reserva. ## Referências - [1](https://www.proofpoint.com/us/blog/threat-insight/security-brief-venomrat-defanged) Proofpoint - Security Brief: VenomRAT is Defanged (2025) - [2](https://securelist.com/revengehotels-attacks-with-ai-and-venomrat-across-latin-america/117493/) Kaspersky Securelist - RevengeHotels Attacks with AI and VenomRAT Across LATAM (2025) - [3](https://thehackernews.com/2024/04/massive-phishing-campaign-strikes-latin.html) The Hacker News - Massive Phishing Campaign Strikes Latin América: VenomRAT (2024) - [4](https://hunt.io/malware-families/venomrat) Hunt.io - VenomRAT Windows Remote Access Trojan Analysis - [5](https://securelist.com.br/revengehotels-attacks-with-ai-and-venomrat-across-latin-america/523/) Securelist Brasil - RevengeHotels: nova onda com LLMs e VenomRAT (2025)