Κακόβουλο λογισμικό Vampire Bot
Ένας βιετναμέζικοφωνος απειλητικός παράγοντας που εντοπίστηκε ως BatShadow διεξάγει μια στοχευμένη εκστρατεία που παρασύρει άτομα που αναζητούν εργασία και επαγγελματίες του ψηφιακού μάρκετινγκ να εγκαταστήσουν ένα προηγουμένως μη καταγεγραμμένο κακόβουλο λογισμικό με βάση το Go, το οποίο οι ερευνητές ονομάζουν Vampire Bot. Η ομάδα μιμείται τους υπεύθυνους προσλήψεων και διανέμει φαινομενικά νόμιμες περιγραφές θέσεων εργασίας και εταιρικά PDF που, όταν αλληλεπιδρούν με αυτά, ενεργοποιούν μια αλυσίδα μόλυνσης πολλαπλών σταδίων και παρέχουν δυνατότητες απομακρυσμένης παρακολούθησης και κλοπής δεδομένων.
Πίνακας περιεχομένων
Κοινωνική Μηχανική και Παράδοση Δολώματος
Οι επιτιθέμενοι δημιουργούν μηνύματα τύπου στρατολόγησης και συνημμένα ZIP που περιέχουν αρχεία PDF-δολώματα μαζί με κακόβουλες συντομεύσεις (LNK) ή εκτελέσιμα αρχεία που μεταμφιέζονται σε PDF. Τα δολώματα εγγράφων στοχεύουν ειδικά σε ρόλους μάρκετινγκ (ένα δόλωμα αναφερόταν σε μια θέση εργασίας μάρκετινγκ της Marriott) για να αυξήσουν την αξιοπιστία των θυμάτων. Τα θύματα ενθαρρύνονται να κάνουν «προεπισκόπηση» ή να κατεβάσουν την περιγραφή της θέσης εργασίας, η οποία ξεκινά την ακολουθία εκμετάλλευσης σε πολλαπλά στάδια.
Πρόοδος της αλυσίδας μόλυνσης
Τα πακέτα ZIP περιλαμβάνουν ένα κακόβουλο LNK που εκτελεί ένα ενσωματωμένο σενάριο PowerShell. Αυτό το σενάριο επικοινωνεί με έναν εξωτερικό διακομιστή για να ανακτήσει ένα αρχείο PDF με δυνατότητα lure και μια ξεχωριστή δέσμη ZIP που περιέχει αρχεία που σχετίζονται με το XtraViewer (λογισμικό απομακρυσμένης επιφάνειας εργασίας). Τα στοιχεία του XtraViewer εκτελούνται — πιθανότατα για να δημιουργήσουν μόνιμη πρόσβαση ή απομακρυσμένη πρόσβαση — και η αλυσίδα συνεχίζεται μέχρι να αναπτυχθεί το εκτελέσιμο αρχείο Go.
Κατάχρηση ανακατευθύνσεων Edge
Ένα βασικό κόλπο της καμπάνιας είναι μια σελίδα προορισμού που εμφανίζει ένα ψεύτικο σφάλμα «μη υποστηριζόμενο πρόγραμμα περιήγησης» και δίνει εντολή στα θύματα να αντιγράψουν τη διεύθυνση URL και να την ανοίξουν στο Microsoft Edge. Οι ανακατευθύνσεις με δέσμες ενεργειών συχνά αποκλείονται από τα σύγχρονα προγράμματα περιήγησης, επομένως οι εισβολείς βασίζονται στο να πείσουν τον χρήστη να εκτελέσει μια χειροκίνητη ενέργεια (αντιγραφή/επικόλληση στο Edge), η οποία στη συνέχεια αντιμετωπίζεται ως ενεργοποιημένη από τον χρήστη και επιτρέπει τη συνέχιση της ροής λήψης. Μόλις ανοιχτεί στο Edge, η σελίδα εμφανίζει ένα άλλο ψεύτικο σφάλμα που ισχυρίζεται ότι το PDF συμπιέστηκε και «εστάλη στη συσκευή σας», το οποίο ενεργοποιεί μια αυτόματη λήψη ZIP.
Κόλπο ονομασίας ωφέλιμου φορτίου και δολώματος
Το αυτόματα ληφθέν ZIP αρχείο περιέχει την υποτιθέμενη περιγραφή της θέσης εργασίας και ένα κακόβουλο εκτελέσιμο αρχείο με όνομα που εμφανίζεται σαν PDF (για παράδειγμα, 'Marriott_Marketing_Job_Description.pdf.exe'). Το εκτελέσιμο αρχείο χρησιμοποιεί συμπλήρωση ονόματος αρχείου (επιπλέον κενά μεταξύ '.pdf' και '.exe'), επομένως φαίνεται σαν PDF σε ορισμένες προβολές, αυξάνοντας την πιθανότητα τα θύματα να το εκτελέσουν.
Δυνατότητες του ρομπότ βαμπίρ
Το εκτελέσιμο αρχείο που έχει αποσυρθεί είναι ένα δυαδικό αρχείο Golang με την ονομασία Vampire Bot. Οι παρατηρούμενες δυνατότητές του περιλαμβάνουν:
- καταμέτρηση και καταγραφή του μολυσμένου ξενιστή,
και
Αναφορά και Υποδομή
Οι αναλυτές συνδέουν αυτήν τη δραστηριότητα με το Βιετνάμ με βάση την επαναχρησιμοποίηση υποδομών — για παράδειγμα, μια διεύθυνση IP (103.124.95.161) που είχε προηγουμένως συσχετιστεί με παρόχους που συνδέονται με το Βιετνάμ — και με μοτίβα στόχευσης. Η BatShadow έχει στοχεύσει επαγγελματίες ψηφιακού μάρκετινγκ στο παρελθόν και επικαλύπτεται με άλλες οικονομικά κίνητρα βιετναμέζικων ομάδων που είναι γνωστό ότι αναπτύσσουν κλέφτες που καταλαμβάνουν περιουσιακά στοιχεία του Facebook Business. Η ομάδα φαίνεται να είναι ενεργή για τουλάχιστον ένα χρόνο και έχει χρησιμοποιήσει προηγουμένως τομείς όπως το samsung-work.com για τη διανομή οικογενειών κακόβουλου λογισμικού, συμπεριλαμβανομένων των Agent Tesla, Lumma Stealer, Venom RAT, και, τον Οκτώβριο του 2024, καμπάνιες που διένειμαν το Quasar RAT μέσω αρχείων περιγραφής θέσεων εργασίας που ήταν παγιδευμένα με παρόμοια εκρηκτικά.
Γιατί η επίθεση είναι αποτελεσματική;
Το BatShadow συνδυάζει δολώματα σχετικά με τον κλάδο (αγγελίες εργασίας μάρκετινγκ), κόλπα ονομάτων αρχείων, σταδιακά φορτία (για την αποφυγή απλής σάρωσης αρχείων) και μια ροή που αναγκάζει μια μη αυτόματη ενέργεια του προγράμματος περιήγησης να παρακάμψει τις προστασίες ανακατεύθυνσης με σενάριο. Αυτός ο συνδυασμός κοινωνικής μηχανικής και τεχνικών βημάτων πολλαπλών σταδίων αυξάνει τις πιθανότητες επιτυχούς παραβίασης και μακροπρόθεσμης πρόσβασης.
Σύναψη
Η καμπάνια της BatShadow υπογραμμίζει πόσο αποτελεσματική είναι η στοχευμένη κοινωνική μηχανική όταν συνδυάζεται με μια σταδιακή, αόριστη τεχνική αλυσίδα. Οι οργανισμοί που προσλαμβάνουν συχνά ή διαχειρίζονται την επισκεψιμότητα των υποψηφίων — και οι επαγγελματίες στο ψηφιακό μάρκετινγκ που διαχειρίζονται διαδικτυακά περιουσιακά στοιχεία — θα πρέπει να αυστηροποιήσουν τον χειρισμό αλληλογραφίας/συνημμένων, να εφαρμόσουν αυστηρούς ελέγχους εκτέλεσης και να αντιμετωπίσουν τα συνημμένα τύπου προσλήψεων ως υψηλού κινδύνου μέχρι να επικυρωθούν.
