Slevová nabídka pro více licencí
Databáze hrozeb Pokročilá trvalá hrozba (APT) Malware Vampire Bot

Malware Vampire Bot

V roce Mezo v roce Pokročilá trvalá hrozba (APT), Malware
Přeložit do:

Vietnamsky mluvící hacker sledovaný jako BatShadow vede cílenou kampaň, která láká uchazeče o zaměstnání a profesionály v oblasti digitálního marketingu k instalaci dříve nezdokumentovaného malwaru založeného na platformě Go, který vědci nazývají Vampire Bot. Skupina se vydává za náboráře a distribuuje zdánlivě legitimní popisy pracovních pozic a firemní PDF soubory, které při interakci spustí vícestupňový infekční řetězec a umožní vzdálený dohled a krádež dat.

Sociální inženýrství a doručování lákadel

Útočníci vytvářejí zprávy a ZIP přílohy ve stylu náboru, které obsahují návnadové PDF soubory spolu se škodlivými zkratkami (LNK) nebo spustitelnými soubory maskovanými jako PDF. Tyto lákavé dokumenty jsou konkrétně zaměřeny na marketingové pozice (jedna lákavá stránka odkazovala na marketingovou pozici ve společnosti Marriott), aby se zvýšila důvěryhodnost u zamýšlených obětí. Oběti jsou vyzývány k „náhledu“ nebo stažení popisu práce, čímž se spustí vícestupňová sekvence zneužití.

Progrese infekčního řetězce

ZIP balíčky obsahují škodlivý LNK, který spouští vložený PowerShellový skript. Tento skript kontaktuje externí server, aby načetl lákavý PDF soubor a samostatný ZIP balíček, který obsahuje soubory týkající se XtraVieweru (software pro vzdálenou plochu). Komponenty XtraVieweru se spustí – pravděpodobně za účelem zajištění trvalosti nebo vzdáleného přístupu – a řetězec pokračuje, dokud není nasazen spustitelný soubor Go.

Zneužívání přesměrování Edge

Klíčovým trikem kampaně je vstupní stránka, která zobrazuje falešnou chybu „nepodporovaný prohlížeč“ a instruuje oběti, aby zkopírovaly URL adresu a otevřely ji v prohlížeči Microsoft Edge. Skriptovaná přesměrování jsou moderními prohlížeči často blokována, takže útočníci se spoléhají na to, že uživatele přesvědčí k provedení ruční akce (kopírování/vložení do prohlížeče Edge), která je pak považována za akci iniciovanou uživatelem a umožňuje pokračování stahování. Po otevření v prohlížeči Edge se na stránce zobrazí další falešná chyba, která tvrdí, že PDF soubor byl komprimován a „odeslán do vašeho zařízení“, což spustí automatické stahování ZIP souboru.

Trik s pojmenováním užitečného zatížení a návnady

Automaticky stažený ZIP soubor obsahuje údajný popis práce a škodlivý spustitelný soubor s názvem, který vypadá jako PDF (například „Marriott_Marketing_Job_Description.pdf.exe“). Spustitelný soubor používá odsazení názvu souboru (mezery mezi „.pdf“ a „.exe“), takže v některých zobrazeních vypadá jako PDF, což zvyšuje pravděpodobnost, že jej oběti spustí.

Schopnosti upírského bota

Stažený spustitelný soubor je binární soubor z Golangu s názvem Vampire Bot. Mezi jeho pozorované schopnosti patří:

  • výčet a profilování infikovaného hostitele,
  • krádež široké sady dat (úložiště přihlašovacích údajů, soubory atd.),
  • pořizování snímků obrazovky podle nastavitelného plánu,
    a
  • udržování komunikace typu command-and-control s útočným serverem (hlášeným jako api3.samsungcareers.work) za účelem přijímání příkazů nebo stahování dalších datových částí.

Atribuce a infrastruktura

Analytici spojují tuto aktivitu s Vietnamem na základě opětovného použití infrastruktury – například IP adresy (103.124.95.161) dříve spojované s operátory napojenými na Vietnam – a na základě vzorců cílení. BatShadow se již dříve zaměřoval na profesionály v oblasti digitálního marketingu a překrývá se s dalšími finančně motivovanými vietnamskými skupinami, o nichž je známo, že nasazují programy pro krádeže malwaru, které unášejí aktiva Facebook Business. Zdá se, že skupina je aktivní nejméně rok a dříve používala domény jako samsung-work.com k distribuci malwarových rodin, včetně Agent Tesla, Lumma Stealer, Venom RAT a v říjnu 2024 kampaně distribuovaly Quasar RAT prostřednictvím podobně nastražených souborů s popisy práce.

Proč je útok efektivní?

BatShadow kombinuje návnady relevantní pro dané odvětví (marketingové pracovní inzeráty), triky s názvy souborů, fázované datové zátěže (aby se vyhnul jednoduchému skenování souborů) a tok, který vynutí manuální akci prohlížeče k obcházení skriptovaných ochran přesměrování. Tato kombinace sociálního inženýrství a vícestupňových technických kroků zvyšuje šance na úspěšné narušení bezpečnosti a dlouhodobý přístup.

Závěr

Kampaň BatShadow zdůrazňuje, jak efektivní je cílené sociální inženýrství ve spojení s postupným a vyhýbavým technickým řetězcem. Organizace, které často nabírají nové zaměstnance nebo se zabývají provozem uchazečů – a profesionálové v oblasti digitálního marketingu, kteří spravují online aktiva – by měly zpřísnit manipulaci s poštou/přílohami, uplatňovat přísné kontroly provedení a považovat přílohy ve stylu náboru za vysoce rizikové, dokud nebudou ověřeny.

Trendy

Verze vaší poštovní schránky bude ukončena – podvod

Phishing, Spam
Online podvodníci neustále vyvíjejí nové triky, jak oklamat uživatele a odcizit cenná data. Jedním z takových příkladů je podvod „Verze vaší poštovní schránky bude ukončena“, což je phishingová kampaň, jejímž cílem je získat přihlašovací údaje od nic netušících obětí. Odborníci na kybernetickou bezpečnost varují, že tyto podvodné zprávy nejsou spojeny s žádnými legitimními společnostmi,...

Nejvíce shlédnuto

Načítání...