RevengeHotels利用人工智能通过VenomRAT攻击Windows用户

近几个月来，运营商专门针对巴西的酒店业网络，不过西班牙语的诱惑已将范围扩大到拉丁美洲的西班牙语市场。

伪装成过期发票通知或虚假工作申请的电子邮件会诱使收件人访问恶意域，这些域托管以旋转“Fat{NUMBER}. js”格式命名的脚本——葡萄牙语为“发票”——以启动下载过程。

执行时，加载器会对经过混淆处理的缓冲区进行解码，并写入一个带有时间戳文件名的PowerShell文件，以确保每个样本都保持唯一性并规避基于特征的检测。

Securelist的分析师指出，这些轮换的文件名以及生成代码的连贯性，与该组织此前的手动混淆操作有所不同。

PowerShell存根执行后，会从远程服务器检索两个经过Base64编码的有效负载——venumentrada.txt和runpe.txt。

第一个文件充当轻量级加载器，而第二个文件则直接在内存中执行VenomRAT有效载荷。

Securelist的研究人员发现，如图1所示，该加载器采用了一种简单的反混淆程序，在不将最终可执行文件写入磁盘的情况下对植入程序进行解码和调用。

VenomRAT植入程序本身基于开源的QuasarRAT代码库构建，并通过隐藏桌面（HVNC）、文件窃取模块和用户账户控制（UAC）绕过原语对其进行了增强。

配置数据采用AES-CBC进行加密，并通过HMAC-SHA256进行认证，加密和解密以及完整性验证使用不同的密钥。

网络例程会将特定于操作的数据包序列化，使用LZMA进行压缩，然后在传输到命令与控制服务器之前用AES-128进行加密。

值得注意的是，VenomRAT集成了基于ngrok的隧道技术，以暴露远程桌面协议（RDP）和虚拟网络计算服务，即便在网络地址转换（NAT）或防火墙限制下，也能增强远程访问能力。

感染机制

感染链的成功取决于初始JavaScript加载器能否协调多阶段有效载荷的交付，同时将人工智能生成的清晰度与手动混淆相结合。

在用户点击钓鱼邮件中的恶意链接后，受害者的浏览器会获取一个WScript JS文件——Fat146571.js，该文件会立即解码一个嵌入的二进制大对象（blob）。

var decoded = atob("SGDoHBZQWpL...");
// Write decoded PowerShell to disk
var fso = new ActiveXObject("Scripting.FileSystemObject");
var ps1 = fso.CreateTextFile("SGDoHBZQWpLKXCAoTHXdBGlnQJLZCGBOVGLH_" + Date.now() + ".ps1", true);
ps1.WriteLine(decoded);
ps1.Close();
// Execute the PowerShell script silently
WScript.CreateObject("WScript.Shell").Run("powershell -ExecutionPolicy Bypass -File " + ps1.Name, 0, false);

这一部分体现了人工智能在生成干净、可维护但却会执行恶意操作的代码方面所扮演的角色。

通过基于时间戳生成独特的文件名并避免留下持久痕迹，该加载程序能够避开传统的防病毒软件和取证工具。

三相执行（解码、写入和执行）确保每个感染实例都有所不同，这使得检测特征更新变得复杂。

通过这种人工智能驱动的脚本与先进的远程访问工具（RAT）能力的结合，RevengeHotels不断完善其针对Windows环境的攻击手段，给网络安全防御者带来了日益严峻的挑战。