Rabattilbud med flere licenser
Trusseldatabase Advanced Persistent Threat (APT) Vampire Bot-malware

Vampire Bot-malware

Med Mezo i Advanced Persistent Threat (APT), Malware
Oversæt til:

En vietnamesisktalende trusselsaktør, der spores som BatShadow, kører en målrettet kampagne, der lokker jobsøgende og digitale marketingfolk til at installere en hidtil udokumenteret Go-baseret malware, som forskerne kalder Vampire Bot. Gruppen udgiver sig for at være rekrutterere og distribuerer tilsyneladende legitime jobbeskrivelser og virksomheds-PDF'er, der, når de interageres med dem, udløser en flertrinsinfektionskæde og leverer fjernovervågning og datatyverifunktioner.

Social manipulation og lokkemiddellevering

Angriberne fremstiller rekrutteringslignende beskeder og ZIP-vedhæftninger, der indeholder PDF-filer med lokkemad sammen med ondsindede genveje (LNK'er) eller eksekverbare filer forklædt som PDF'er. Dokumentlokkemidlerne er specifikt rettet mod marketingroller (et lokkemiddel refererede til et marketingjob hos Marriott) for at øge troværdigheden hos de tiltænkte ofre. Ofrene opfordres til at "forhåndsvise" eller downloade jobbeskrivelsen, hvilket starter den flertrinsvise udnyttelsessekvens.

Infektionskædeprogression

ZIP-pakkerne indeholder en ondsindet LNK, der kører et integreret PowerShell-script. Dette script kontakter en ekstern server for at hente en lokke-PDF og en separat ZIP-bundt, der indeholder filer relateret til XtraViewer (fjernskrivebordssoftware). XtraViewer-komponenterne udføres – sandsynligvis for at etablere persistens eller fjernadgang – og kæden fortsætter, indtil den eksekverbare Go-fil er installeret.

Misbrug af Edge-omdirigeringer

Et centralt trick i kampagnen er en landingsside, der viser en falsk 'ikke-understøttet browser'-fejl og instruerer ofrene i at kopiere URL'en og åbne den i Microsoft Edge. Scriptede omdirigeringer blokeres ofte af moderne browsere, så angriberne er afhængige af at overbevise brugeren om at udføre en manuel handling (kopier/indsæt i Edge), som derefter behandles som brugerinitieret og tillader downloadflowet at fortsætte. Når siden åbnes i Edge, viser den en anden falsk fejl, der hævder, at PDF'en blev komprimeret og 'sendt til din enhed', hvilket udløser en automatisk ZIP-download.

Navngivningstrick til nyttelast og lokkefugle

Den automatisk downloadede ZIP-fil indeholder den påståede jobbeskrivelse og en ondsindet eksekverbar fil, der er navngivet, så den ligner en PDF (f.eks. 'Marriott_Marketing_Job_Description.pdf.exe'). Den eksekverbare fil bruger filnavnspolstring (ekstra mellemrum mellem '.pdf' og '.exe'), så den ligner en PDF i nogle visninger, hvilket øger sandsynligheden for, at ofrene vil køre den.

Vampyrbottens evner

Den droppede eksekverbare fil er en Golang-binær fil kaldet Vampire Bot. Dens observerede funktioner inkluderer:

  • optælling og profilering af den inficerede vært,
  • stjæle et bredt datasæt (legitimationsoplysninger, filer osv.)
  • tage skærmbilleder efter en konfigurerbar tidsplan,
    og
  • opretholdelse af kommando-og-kontrol-kommunikation med en angriberserver (rapporteret som api3.samsungcareers.work) for at modtage kommandoer eller downloade yderligere nyttelast.

    • Attribuering og infrastruktur

    Analytikere forbinder denne aktivitet med Vietnam baseret på genbrug af infrastruktur – for eksempel en IP-adresse (103.124.95.161), der tidligere var forbundet med operatører med tilknytning til Vietnam – og på målretningsmønstre. BatShadow har tidligere målrettet digitale marketingprofessionelle og overlapper med andre økonomisk motiverede vietnamesiske grupper, der er kendt for at anvende stealers, der kaprer Facebook Business-aktiver. Gruppen ser ud til at have været aktiv i mindst et år og har tidligere brugt domæner som samsung-work.com til at distribuere malwarefamilier, herunder Agent Tesla, Lumma Stealer, Venom RAT, og i oktober 2024 kampagner, der distribuerer Quasar RAT via lignende fældede jobbeskrivelsesfiler.

    Hvorfor er angrebet effektivt?

    BatShadow kombinerer brancherelevante lokkemidler (markedsføringsjobannoncer), filnavnetricks, trinvise nyttelast (for at undgå simpel filscanning) og et flow, der tvinger en manuel browserhandling til at omgå scriptede omdirigeringsbeskyttelser. Denne blanding af social engineering og tekniske trin i flere trin øger chancerne for vellykket kompromittering og langvarig adgang.

    Konklusion

    BatShadows kampagne understreger, hvor effektiv målrettet social engineering er, når den kombineres med en trinvis, undvigende teknisk kæde. Organisationer, der rekrutterer ofte eller håndterer ansøgertrafik – og professionelle inden for digital marketing, der administrerer online aktiver – bør skærpe håndteringen af mail/vedhæftede filer, anvende strenge udførelseskontroller og behandle vedhæftede filer i rekrutteringsstil som højrisiko, indtil de er valideret.

    Trending

    Mest sete

    Indlæser...