Vampire Bot Malware
يُدير مُمثل تهديد ناطق باللغة الفيتنامية، يُتتبع باسم باتشادو، حملةً مُستهدفة تغري الباحثين عن عمل وخبراء التسويق الرقمي بتثبيت برنامج خبيث قائم على لغة Go، لم يُوثّق سابقًا، يُطلق عليه الباحثون اسم "بوت مصاص الدماء". ينتحل هذا البرنامج صفة مسؤولي التوظيف، وينشر أوصافًا وظيفية وملفات PDF رسمية للشركات تبدو وكأنها حقيقية، وعند التفاعل معها، تُطلق سلسلة إصابات متعددة المراحل، وتُتيح إمكانية المراقبة عن بُعد وسرقة البيانات.
جدول المحتويات
الهندسة الاجتماعية وتوصيل الطُعم
يُنشئ المهاجمون رسائلَ تجنيدٍ ومرفقاتٍ بصيغة ZIP تحتوي على ملفات PDF وهمية، إلى جانب اختصاراتٍ خبيثة (LNK) أو ملفاتٍ قابلةٍ للتنفيذ مُموَّهةٍ على أنها ملفات PDF. تستهدف هذه المستندات المُغرية تحديدًا وظائف التسويق (أشار أحدها إلى وظيفة تسويق في ماريوت) لزيادة مصداقيتهم لدى الضحايا المستهدفين. يُشجَّع الضحايا على "معاينة" أو تنزيل وصف الوظيفة، مما يُطلق سلسلة الاستغلال متعددة المراحل.
تطور سلسلة العدوى
تتضمن حزم ZIP ملف LNK خبيثًا يُشغّل نصًا برمجيًا مُضمّنًا في PowerShell. يتصل هذا النص البرمجي بخادم خارجي لجلب ملف PDF مُضلّل وحزمة ZIP منفصلة تحتوي على ملفات تتعلق ببرنامج XtraViewer (برنامج سطح مكتب بعيد). يتم تنفيذ مكونات XtraViewer - على الأرجح لإثبات استمرارية الوصول أو الوصول عن بُعد - وتستمر السلسلة حتى يتم نشر ملف Go القابل للتنفيذ.
إساءة استخدام عمليات إعادة التوجيه على Edge
من أبرز حيل هذه الحملة صفحة هبوط تعرض خطأً وهميًا يفيد بأن "متصفحًا غير مدعوم" وتطلب من الضحايا نسخ عنوان URL وفتحه في متصفح مايكروسوفت إيدج. غالبًا ما تحظر المتصفحات الحديثة عمليات إعادة التوجيه النصية، لذا يعتمد المهاجمون على إقناع المستخدم بتنفيذ إجراء يدوي (نسخ/لصق في إيدج)، والذي يُعامل على أنه إجراء من قِبل المستخدم ويسمح باستمرار عملية التنزيل. بمجرد فتح الصفحة في إيدج، تعرض خطأً وهميًا آخر يدّعي أن ملف PDF قد تم ضغطه و"إرساله إلى جهازك"، مما يؤدي إلى تنزيل ملف ZIP تلقائيًا.
خدعة تسمية الحمولة والطُعم
يحتوي ملف ZIP الذي يتم تنزيله تلقائيًا على وصف الوظيفة المزعوم وملف تنفيذي خبيث يُسمى ليبدو كملف PDF (على سبيل المثال، "Marriott_Marketing_Job_Description.pdf.exe"). يستخدم الملف التنفيذي حشوًا في اسم الملف (مسافات إضافية بين ".pdf" و".exe") ليبدو كملف PDF في بعض العروض، مما يزيد من احتمالية تشغيله من قِبل الضحايا.
قدرات بوت مصاص الدماء
الملف التنفيذي المُسقط هو ملف ثنائي بلغة Golang يُسمى Vampire Bot. تشمل إمكانياته المُلاحظة ما يلي:
- إحصاء وتحديد ملف تعريف المضيف المصاب،
- سرقة مجموعة واسعة من البيانات (مخازن بيانات الاعتماد والملفات وما إلى ذلك)،
- التقاط لقطات شاشة وفقًا لجدول زمني قابل للتكوين،
و
- الحفاظ على اتصالات القيادة والتحكم مع خادم المهاجم (المُبلغ عنها باسم api3.samsungcareers.work) لتلقي الأوامر أو تنزيل الحمولات الإضافية.
الإسناد والبنية التحتية
يربط المحللون هذا النشاط بفيتنام بناءً على إعادة استخدام البنية التحتية - على سبيل المثال، عنوان IP (103.124.95.161) المرتبط سابقًا بمشغلين مرتبطين بفيتنام - وأنماط الاستهداف. سبق لمجموعة BatShadow استهداف متخصصين في التسويق الرقمي، وهي تتداخل مع مجموعات فيتنامية أخرى ذات دوافع مالية معروفة بنشر برامج اختراق تخترق أصول فيسبوك للأعمال. يبدو أن المجموعة نشطة منذ عام على الأقل، وقد استخدمت سابقًا نطاقات مثل samsung-work.com لتوزيع عائلات من البرامج الضارة، بما في ذلك Agent Tesla وLumma Stealer وVenom RAT، وفي أكتوبر 2024، شنت حملات لتوزيع Quasar RAT عبر ملفات وصف وظيفي مفخخة مماثلة.
لماذا الهجوم فعال؟
يجمع BatShadow بين أساليب إغراء شائعة (إعلانات وظائف تسويقية)، وخدع أسماء الملفات، وحمولات مُعدّة مسبقًا (للتهرب من فحص الملفات البسيط)، وآليات تُجبر المتصفح على إجراء يدوي لتجاوز حماية إعادة التوجيه النصية. هذا المزيج من الهندسة الاجتماعية والخطوات التقنية متعددة المراحل يزيد من فرص نجاح الاختراق والوصول طويل الأمد.
خاتمة
تُبرز حملة بات شادو فعالية الهندسة الاجتماعية المُستهدفة عند اقترانها بسلسلة تقنية مُرتبة ومُراوغة. ينبغي على المؤسسات التي تُوظّف بشكل متكرر أو تُدير حركة المُتقدمين، وكذلك مُتخصصي التسويق الرقمي الذين يُديرون الأصول الإلكترونية، تشديد إجراءات التعامل مع البريد/المرفقات، وتطبيق ضوابط صارمة على التنفيذ، واعتبار المرفقات المُستخدمة في التوظيف عالية المخاطر حتى يتم التحقق من صحتها.
