Vampire Bot Malware
גורם איום דובר וייטנאמית, שעוקב אחריו בשם BatShadow, מנהל קמפיין ממוקד המפתה מחפשי עבודה ואנשי שיווק דיגיטלי להתקין תוכנה זדונית מבוססת Go, שלא תועדה בעבר, אותה מכנים החוקרים Vampire Bot. הקבוצה מתחזה למגייסים ומפיצה תיאורי תפקידים לגיטימיים לכאורה וקובצי PDF של חברות, שכאשר מקיימים איתם אינטראקציה, הם מפעילים שרשרת הדבקה רב-שלבית ומספקים יכולות מעקב מרחוק וגניבת נתונים.
תוכן העניינים
הנדסה חברתית ומשלוח פיתיונות
התוקפים יוצרים הודעות גיוס קבצים מצורפים מסוג ZIP המכילים קבצי PDF מפתים לצד קיצורי דרך זדוניים (LNK) או קבצי הרצה במסווה של קבצי PDF. פיתוי המסמכים מכוון במיוחד לתפקידי שיווק (פיתוי אחד התייחס למשרת שיווק במריוט) כדי להגביר את האמינות בקרב הקורבנות המיועדים. הקורבנות מוזמנים 'להציג תצוגה מקדימה' או להוריד את תיאור התפקיד, מה שמתחיל את רצף הניצול הרב-שלבי.
התקדמות שרשרת ההדבקה
חבילות ה-ZIP כוללות LNK זדוני שמפעיל סקריפט PowerShell מוטמע. סקריפט זה יוצר קשר עם שרת חיצוני כדי לאחזר קובץ PDF מסוג lure וחבילת ZIP נפרדת המכילה קבצים הקשורים ל-XtraViewer (תוכנת שולחן עבודה מרוחק). רכיבי XtraViewer מבוצעים - ככל הנראה כדי ליצור גישה מרחוק או שמירה על נוכחות - והשרשרת נמשכת עד לפריסת קובץ ה-Go.
ניצול לרעה של הפניות Edge
טריק מרכזי בקמפיין הוא דף נחיתה המציג שגיאה מזויפת של 'דפדפן לא נתמך' ומורה לקורבנות להעתיק את כתובת ה-URL ולפתוח אותה ב-Microsoft Edge. הפניות באמצעות סקריפטים חסומות לעתים קרובות על ידי דפדפנים מודרניים, כך שהתוקפים מסתמכים על שכנוע המשתמש לבצע פעולה ידנית (העתקה/הדבקה ל-Edge), אשר לאחר מכן מטופלת כפעולה ביוזמת המשתמש ומאפשרת לזרימת ההורדה להמשיך. לאחר פתיחתו ב-Edge, הדף מציג שגיאה מזויפת נוספת הטוענת שקובץ ה-PDF נדחס ו'נשלח למכשיר שלך', מה שמפעיל הורדה אוטומטית של ZIP.
טריק למתן שמות למטען ולפיתיון
קובץ ה-ZIP שהורד אוטומטית מכיל את תיאור התפקיד לכאורה וקובץ הרצה זדוני ששמו נראה כמו קובץ PDF (לדוגמה, 'Marriott_Marketing_Job_Description.pdf.exe'). קובץ הרצה משתמש בריפוד שם הקובץ (רווחים נוספים בין '.pdf' ל-'.exe') כך שהוא נראה כמו קובץ PDF בחלק מהתצוגות, מה שמגדיל את הסבירות שהקורבנות יפעילו אותו.
יכולות של בוט ערפדים
הקובץ הניתן להוצאה מהרשת הוא קובץ בינארי של גולאנג המכונה Vampire Bot. היכולות שנצפו בו כוללות:
- ספירה ויצירת פרופיל של המארח הנגוע,
- גניבת מערך רחב של נתונים (מאגרי אישורים, קבצים וכו'),
- צילום צילומי מסך לפי לוח זמנים מוגדר,
ו
- שמירה על תקשורת פיקוד ובקרה עם שרת תוקף (מדווח כ- api3.samsungcareers.work) כדי לקבל פקודות או להוריד מטענים נוספים.
ייחוס ותשתיות
אנליסטים מקשרים פעילות זו לווייטנאם על סמך שימוש חוזר בתשתית - לדוגמה, כתובת IP (103.124.95.161) שקושרת בעבר למפעילים הקשורים לווייטנאם - ועל סמך דפוסי מיקוד. BatShadow כיוונה בעבר לאנשי שיווק דיגיטלי וחופפת לקבוצות וייטנאמיות אחרות בעלות מוטיבציה כלכלית הידועות כמפרסות גנבים שחוטפות נכסי פייסבוק עסקית. נראה כי הקבוצה פעילה לפחות שנה ובעבר השתמשה בדומיינים כמו samsung-work.com כדי להפיץ משפחות של תוכנות זדוניות, כולל Agent Tesla, Lumma Stealer, Venom RAT, ובאוקטובר 2024, קמפיינים שהפיצו את Quasar RAT באמצעות קבצי תיאור תפקידים ממולכדים דומים.
למה ההתקפה יעילה?
BatShadow משלבת פיתיונות רלוונטיים לתעשייה (מודעות דרושים שיווקיות), טריקים ליצירת שמות קבצים, מטענים מבוצעים (כדי להתחמק מסריקת קבצים פשוטה) וזרימה שכופה פעולת דפדפן ידנית לעקוף הגנות הפניה באמצעות סקריפטים. שילוב זה של הנדסה חברתית וצעדים טכניים מרובי שלבים מגדיל את הסיכויים לפריצה מוצלחת ולגישה לטווח ארוך.
מַסְקָנָה
הקמפיין של BatShadow מדגיש עד כמה יעילה הנדסה חברתית ממוקדת בשילוב עם שרשרת טכנית מדורגת וחמקמקה. ארגונים המגייסים לעתים קרובות או מטפלים בתנועת מועמדים - ואנשי מקצוע בשיווק דיגיטלי המנהלים נכסים מקוונים - צריכים להקשיח את הטיפול בדואר/קבצים מצורפים, להחיל בקרות ביצוע מחמירות ולהתייחס לקבצים מצורפים בסגנון גיוס כבעלי סיכון גבוה עד לאימות.
