Оферта за отстъпка за множество лицензи
База данни за заплахи Усъвършенствана постоянна заплаха (APT) Зловреден софтуер Vampire Bot

Зловреден софтуер Vampire Bot

До Mezo през Усъвършенствана постоянна заплаха (APT), Зловреден софтуерг
Превод на:

Виетнамскоговорящ злонамерен персонаж, проследен като BatShadow, провежда целенасочена кампания, която примамва търсещи работа и специалисти по дигитален маркетинг да инсталират досега недокументиран зловреден софтуер, базиран на Go, който изследователите наричат Vampire Bot. Групата се представя за работодатели и разпространява привидно легитимни длъжностни описания и корпоративни PDF файлове, които при взаимодействие с тях задействат многоетапна верига от инфекции и предоставят възможности за дистанционно наблюдение и кражба на данни.

Социално инженерство и доставка на примамки

Нападателите създават съобщения в стил на вербуване и ZIP прикачени файлове, които съдържат PDF файлове-примамки, заедно със злонамерени преки пътища (LNK) или изпълними файлове, маскирани като PDF файлове. Примамливите документи са насочени специално към маркетингови позиции (една примамка препращаше към маркетингова позиция в Marriott), за да се увеличи доверието сред целевите жертви. Жертвите се насърчават да „прегледат“ или изтеглят описанието на длъжността, което стартира многоетапната последователност от експлоатационни дейности.

Прогресия на инфекциозната верига

ZIP пакетите включват зловреден LNK, който изпълнява вграден PowerShell скрипт. Този скрипт се свързва с външен сървър, за да извлече PDF файл и отделен ZIP пакет, който съдържа файлове, свързани с XtraViewer (софтуер за отдалечен работен плот). Компонентите на XtraViewer се изпълняват – вероятно за да установят постоянство или отдалечен достъп – и веригата продължава, докато не бъде внедрен изпълнимият файл на Go.

Злоупотреба с пренасочвания на Edge

Ключов трик в кампанията е целевата страница, която показва фалшива грешка „неподдържан браузър“ и инструктира жертвите да копират URL адреса и да го отворят в Microsoft Edge. Скриптираните пренасочвания често се блокират от съвременните браузъри, така че нападателите разчитат да убедят потребителя да извърши ръчно действие (копиране/поставяне в Edge), което след това се третира като инициирано от потребителя и позволява на процеса на изтегляне да продължи. След като бъде отворена в Edge, страницата показва друга фалшива грешка, твърдеща, че PDF файлът е компресиран и „изпратен до вашето устройство“, което задейства автоматично изтегляне на ZIP архив.

Трик за именуване на полезен товар и примамка

Автоматично изтегленият ZIP файл съдържа предполагаемото описание на длъжността и злонамерен изпълним файл, наречен така, че да изглежда като PDF (например „Marriott_Marketing_Job_Description.pdf.exe“). Изпълнимият файл използва допълване на името на файла (допълнителни интервали между „.pdf“ и „.exe“), така че изглежда като PDF в някои изгледи, което увеличава вероятността жертвите да го стартират.

Възможности на Vampire Bot

Изтегленият изпълним файл е двоичен файл на Golang, наречен Vampire Bot. Неговите наблюдавани възможности включват:

  • изброяване и профилиране на заразения хост,
  • кражба на широк набор от данни (хранилища за идентификационни данни, файлове и др.),
  • правене на екранни снимки по конфигурируем график,
    и
  • поддържане на комуникация за командване и контрол със сървър на атакуващия (докладван като api3.samsungcareers.work) за получаване на команди или изтегляне на допълнителни полезни товари.

Атрибуция и инфраструктура

Анализаторите свързват тази дейност с Виетнам въз основа на повторното използване на инфраструктура – например IP адрес (103.124.95.161), който преди това е бил свързван с оператори, свързани с Виетнам – и въз основа на модели на таргетиране. BatShadow е била насочена към специалисти по дигитален маркетинг преди и се припокрива с други финансово мотивирани виетнамски групи, известни с използването на програми за кражба на данни, които отвличат активи на Facebook Business. Групата изглежда е активна от поне година и преди това е използвала домейни като samsung-work.com, за да разпространява семейства зловреден софтуер, включително Agent Tesla, Lumma Stealer, Venom RAT, а през октомври 2024 г. е провеждала кампании за разпространение на Quasar RAT чрез подобни минирани файлове с описание на длъжностите.

Защо атаката е ефективна?

BatShadow комбинира релевантни за индустрията примамки (маркетингови обяви за работа), трикове с имена на файлове, поетапни полезни товари (за избягване на просто сканиране на файлове) и поток, който принуждава ръчно действие на браузъра, за да заобиколи скриптираните защити за пренасочване. Тази комбинация от социално инженерство и многоетапни технически стъпки увеличава шансовете за успешно компрометиране и дългосрочен достъп.

Заключение

Кампанията на BatShadow подчертава колко ефективно е целенасоченото социално инженерство, когато е съчетано с поетапна, уклончива техническа верига. Организациите, които често набират персонал или обработват трафик от кандидати – и професионалистите в дигиталния маркетинг, които управляват онлайн активи – трябва да засилят обработката на имейли/прикачени файлове, да прилагат строг контрол върху изпълнението и да третират прикачените файлове, използвани в стил набиране на персонал, като високорискови, докато не бъдат валидирани.

Тенденция

Версията на вашата пощенска кутия ще бъде прекратена...

Фишинг, Спам
Онлайн измамниците непрекъснато разработват нови трикове, за да заблуждават потребителите и да крадат ценни данни. Един такъв пример е измамата „Версията на вашата пощенска кутия ще бъде преустановена“ - фишинг кампания, предназначена да събира идентификационни данни за вход от нищо неподозиращи жертви. Експертите по киберсигурност предупреждават, че тези измамни съобщения не са свързани с...

Най-гледан

Зареждане...