قیمت چند مجوز تخفیف
پایگاه داده تهدید تهدید مداوم پیشرفته (APT) Vampire Bot Malware

Vampire Bot Malware

تا Mezo در تهدید مداوم پیشرفته (APT), بدافزار
ترجمه به:

یک عامل تهدید ویتنامی زبان که با نام BatShadow ردیابی می‌شود، در حال اجرای یک کمپین هدفمند است که جویندگان کار و متخصصان بازاریابی دیجیتال را برای نصب یک بدافزار مبتنی بر Go که قبلاً مستند نشده و محققان آن را Vampire Bot می‌نامند، فریب می‌دهد. این گروه خود را به عنوان استخدام‌کنندگان جا می‌زند و شرح شغل‌ها و فایل‌های PDF به ظاهر قانونی را توزیع می‌کند که در صورت تعامل، یک زنجیره آلودگی چند مرحله‌ای را ایجاد کرده و قابلیت‌های نظارت از راه دور و سرقت داده‌ها را ارائه می‌دهد.

مهندسی اجتماعی و فریب کاربران

مهاجمان پیام‌هایی به سبک استخدام و پیوست‌های ZIP ایجاد می‌کنند که حاوی فایل‌های PDF فریبنده در کنار میانبرهای مخرب (LNK) یا فایل‌های اجرایی مبدل به PDF هستند. این اسناد فریبنده به‌طور خاص نقش‌های بازاریابی را هدف قرار می‌دهند (یکی از این اسناد به شغل بازاریابی ماریوت اشاره داشت) تا اعتبار قربانیان مورد نظر را افزایش دهند. قربانیان تشویق می‌شوند که شرح شغل را «پیش‌نمایش» کنند یا دانلود کنند، که این امر توالی چند مرحله‌ای سوءاستفاده را آغاز می‌کند.

پیشرفت زنجیره عفونت

بسته‌های ZIP شامل یک LNK مخرب هستند که یک اسکریپت PowerShell جاسازی‌شده را اجرا می‌کند. این اسکریپت با یک سرور خارجی تماس می‌گیرد تا یک فایل PDF فریبنده و یک بسته ZIP جداگانه که حاوی فایل‌های مربوط به XtraViewer (نرم‌افزار دسکتاپ از راه دور) است را دریافت کند. اجزای XtraViewer اجرا می‌شوند - احتمالاً برای ایجاد پایداری یا دسترسی از راه دور - و این زنجیره تا زمانی که فایل اجرایی Go اجرا شود، ادامه می‌یابد.

سوءاستفاده از ریدایرکت‌های Edge

یک ترفند کلیدی در این کمپین، یک صفحه فرود است که خطای جعلی «مرورگر پشتیبانی نمی‌شود» را نشان می‌دهد و به قربانیان دستور می‌دهد که URL را کپی کرده و آن را در Microsoft Edge باز کنند. ریدایرکت‌های اسکریپت‌شده اغلب توسط مرورگرهای مدرن مسدود می‌شوند، بنابراین مهاجمان به متقاعد کردن کاربر برای انجام یک اقدام دستی (کپی/پیست کردن در Edge) متکی هستند، که سپس به عنوان درخواست کاربر تلقی می‌شود و اجازه می‌دهد جریان دانلود ادامه یابد. پس از باز شدن در Edge، صفحه خطای جعلی دیگری را نشان می‌دهد که ادعا می‌کند PDF فشرده شده و «به دستگاه شما ارسال شده است» که باعث دانلود خودکار ZIP می‌شود.

ترفند نامگذاری Payload و Decoy

فایل زیپی که به صورت خودکار دانلود می‌شود، حاوی شرح شغل مورد نظر و یک فایل اجرایی مخرب است که نام آن طوری انتخاب شده که شبیه فایل PDF به نظر برسد (برای مثال، 'Marriott_Marketing_Job_Description.pdf.exe'). این فایل اجرایی از فاصله‌گذاری بین نام فایل (فاصله‌های اضافی بین '.pdf' و '.exe') استفاده می‌کند، بنابراین در برخی نماها شبیه فایل PDF به نظر می‌رسد و احتمال اجرای آن توسط قربانیان را افزایش می‌دهد.

قابلیت‌های ربات خون‌آشام

فایل اجرایی رها شده یک فایل باینری Golang به نام Vampire Bot است. قابلیت‌های مشاهده شده در آن عبارتند از:

  • شمارش و پروفایل کردن میزبان آلوده،
  • سرقت مجموعه گسترده‌ای از داده‌ها (ذخیره‌های اعتبارنامه، فایل‌ها و غیره)
  • گرفتن اسکرین‌شات در یک برنامه قابل تنظیم،
    و
  • حفظ ارتباط فرماندهی و کنترل با یک سرور مهاجم (که به عنوان api3.samsungcareers.work گزارش شده است) برای دریافت دستورات یا دانلود پیلودهای اضافی.

تخصیص و زیرساخت

تحلیلگران این فعالیت را بر اساس استفاده مجدد از زیرساخت‌ها - به عنوان مثال، یک آدرس IP (103.124.95.161) که قبلاً با اپراتورهای مرتبط با ویتنام مرتبط بوده است - و بر اساس الگوهای هدف‌گیری، به ویتنام مرتبط می‌دانند. BatShadow قبلاً متخصصان بازاریابی دیجیتال را هدف قرار داده است و با سایر گروه‌های ویتنامی با انگیزه مالی که به دلیل استفاده از ابزارهای سرقت اطلاعات که دارایی‌های تجاری فیس‌بوک را می‌ربایند، شناخته می‌شوند، همپوشانی دارد. به نظر می‌رسد این گروه حداقل یک سال فعال بوده و قبلاً از دامنه‌هایی مانند samsung-work.com برای توزیع خانواده‌های بدافزار از جمله Agent Tesla، Lumma Stealer، Venom RAT استفاده کرده است و در اکتبر 2024، کمپین‌هایی که Quasar RAT را از طریق فایل‌های شرح شغل مشابه توزیع می‌کردند، استفاده کرده است.

چرا این حمله مؤثر است؟

BatShadow ترکیبی از فریب‌های مرتبط با صنعت (آگهی‌های شغلی بازاریابی)، ترفندهای نام فایل، payloadهای مرحله‌ای (برای فرار از اسکن ساده فایل) و جریانی است که یک اقدام دستی مرورگر را برای دور زدن محافظت‌های تغییر مسیر اسکریپت‌شده مجبور می‌کند. این ترکیب از مهندسی اجتماعی و مراحل فنی چند مرحله‌ای، شانس نفوذ موفقیت‌آمیز و دسترسی بلندمدت را افزایش می‌دهد.

نتیجه‌گیری

کمپین BatShadow نشان می‌دهد که مهندسی اجتماعی هدفمند چقدر می‌تواند مؤثر باشد وقتی که با یک زنجیره فنی مرحله‌ای و گریزان همراه شود. سازمان‌هایی که مرتباً استخدام می‌کنند یا ترافیک متقاضیان را مدیریت می‌کنند - و متخصصان بازاریابی دیجیتال که دارایی‌های آنلاین را مدیریت می‌کنند - باید مدیریت ایمیل/پیوست را سخت‌تر کنند، کنترل‌های اجرایی دقیقی اعمال کنند و پیوست‌های به سبک استخدام را تا زمان تأیید، پرخطر تلقی کنند.

پرطرفدار

کلاهبرداری نسخه «صندوق پستی شما متوقف خواهد شد»

فیشینگ, هرزنامه
کلاهبرداران آنلاین دائماً ترفندهای جدیدی را برای فریب کاربران و سرقت داده‌های ارزشمند ابداع می‌کنند. یکی از این نمونه‌ها، کلاهبرداری «نسخه صندوق پستی شما متوقف خواهد شد» است، یک کمپین فیشینگ که برای جمع‌آوری اطلاعات ورود به سیستم از قربانیان ناآگاه طراحی شده است. کارشناسان امنیت سایبری هشدار می‌دهند که این پیام‌های کلاهبرداری با هیچ شرکت، سازمان یا ارائه‌دهنده خدمات قانونی مرتبط نیستند....

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
33,974
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...