Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Amenaça persistent avançada (APT) Vampire Bot Malware

Vampire Bot Malware

El Mezo el Amenaça persistent avançada (APT), Programari maliciós
Traduir a:

Un actor d'amenaces de parla vietnamita rastrejat com a BatShadow està duent a terme una campanya dirigida que atrau els demandants d'ocupació i els professionals del màrqueting digital a instal·lar un programari maliciós basat en Go, prèviament indocumentat, que els investigadors anomenen Vampire Bot. El grup suplanta reclutadors i distribueix descripcions de llocs de treball aparentment legítimes i PDF corporatius que, quan s'interactua amb ells, desencadenen una cadena d'infecció de diverses etapes i ofereixen capacitats de vigilància remota i robatori de dades.

Enginyeria social i lliurament d’esquers

Els atacants creen missatges d'estil de reclutament i fitxers adjunts ZIP que contenen fitxers PDF esquer juntament amb dreceres malicioses (LNK) o executables disfressats de PDF. Els esquers de documents estan dirigits específicament a rols de màrqueting (un esquer feia referència a una feina de màrqueting de Marriott) per augmentar la credibilitat amb les víctimes previstes. S'anima les víctimes a "previsualitzar" o descarregar la descripció de la feina, cosa que inicia la seqüència d'explotació en diverses etapes.

Progressió de la cadena d’infecció

Els paquets ZIP inclouen un LNK maliciós que executa un script de PowerShell incrustat. Aquest script contacta amb un servidor extern per obtenir un PDF d'espurna i un paquet ZIP separat que conté fitxers relacionats amb XtraViewer (programari d'escriptori remot). Els components de XtraViewer s'executen (probablement per establir persistència o accés remot) i la cadena continua fins que es desplega l'executable Go.

Abusar de les redireccions de vora

Un truc clau de la campanya és una pàgina de destinació que mostra un error fals de "navegador no compatible" i indica a les víctimes que copiïn l'URL i l'obrin a Microsoft Edge. Els navegadors moderns sovint bloquegen les redireccions amb script, de manera que els atacants es basen en convèncer l'usuari perquè realitzi una acció manual (copiar/enganxar a Edge), que després es tracta com a iniciada per l'usuari i permet que el flux de descàrrega continuï. Un cop oberta a Edge, la pàgina mostra un altre error fals que afirma que el PDF s'ha comprimit i "s'ha enviat al vostre dispositiu", cosa que activa una descàrrega automàtica de ZIP.

Truc de nomenament de càrrega útil i esquer

El fitxer ZIP descarregat automàticament conté la suposada descripció de la feina i un executable maliciós anomenat per semblar un PDF (per exemple, "Marriott_Marketing_Job_Description.pdf.exe"). L'executable utilitza farciment de nom de fitxer (espais addicionals entre ".pdf" i ".exe"), de manera que sembla un PDF en algunes vistes, cosa que augmenta la probabilitat que les víctimes l'executin.

Capacitats del bot vampir

L'executable descartat és un binari de Golang anomenat Vampire Bot. Les seves capacitats observades inclouen:

  • enumerar i perfilar l'hoste infectat,
  • robar un ampli conjunt de dades (magatzems de credencials, fitxers, etc.),
  • fer captures de pantalla amb una programació configurable,
    i
  • mantenir la comunicació de comandament i control amb un servidor atacant (informat com a api3.samsungcareers.work) per rebre ordres o descarregar càrregues addicionals.

Atribució i infraestructura

Els analistes vinculen aquesta activitat amb el Vietnam basant-se en la reutilització de la infraestructura (per exemple, una adreça IP (103.124.95.161) prèviament associada amb operadors vinculats al Vietnam) i en patrons de segmentació. BatShadow ja ha atacat professionals del màrqueting digital abans i se superposa amb altres grups vietnamites amb motivacions financeres coneguts per desplegar lladres que segresten els actius de Facebook Business. El grup sembla que ha estat actiu durant almenys un any i ha utilitzat anteriorment dominis com ara samsung-work.com per distribuir famílies de programari maliciós com ara Agent Tesla, Lumma Stealer, Venom RAT i, a l'octubre de 2024, campanyes que distribueixen Quasar RAT a través d'arxius de descripció de llocs de treball similars amb trampes explosives.

Per què l’atac és eficaç?

BatShadow combina esquers rellevants per a la indústria (anuncis de màrqueting), trucs de noms de fitxers, càrregues útils per etapes (per evadir l'escaneig simple de fitxers) i un flux que força una acció manual del navegador per eludir les proteccions de redirecció amb script. Aquesta combinació d'enginyeria social i passos tècnics de diverses etapes augmenta les possibilitats d'un compromís reeixit i d'accés a llarg termini.

Conclusió

La campanya de BatShadow subratlla l'eficàcia de l'enginyeria social dirigida quan es combina amb una cadena tècnica evasiva i per etapes. Les organitzacions que recluten amb freqüència o gestionen el trànsit de sol·licitants (i els professionals del màrqueting digital que gestionen actius en línia) haurien d'endurir la gestió del correu/adjunts, aplicar controls d'execució estrictes i tractar els fitxers adjunts d'estil de reclutament com a d'alt risc fins que siguin validats.

Tendència

Versió de la vostra bústia de correu deixarà de ser...

Phishing, Correu brossa
Els estafadors en línia desenvolupen contínuament nous trucs per enganyar els usuaris i robar dades valuoses. Un exemple és l'estafa "Versió de la vostra bústia de correu es descontinuarà", una campanya de phishing dissenyada per obtenir credencials d'inici de sessió de víctimes desprevingudes. Els experts en ciberseguretat adverteixen que aquests missatges fraudulents no estan associats a cap...

Més vist

Carregant...