Vampire बॉट मैलवेयर

बैटशैडो नाम से ट्रैक किया गया एक वियतनामी भाषी ख़तरा एक लक्षित अभियान चला रहा है जो नौकरी चाहने वालों और डिजिटल मार्केटिंग पेशेवरों को एक पहले से अज्ञात गो-आधारित मैलवेयर इंस्टॉल करने के लिए लुभाता है, जिसे शोधकर्ता वैम्पायर बॉट कहते हैं। यह समूह भर्तीकर्ताओं का रूप धारण करता है और वैध प्रतीत होने वाले नौकरी विवरण और कॉर्पोरेट पीडीएफ़ वितरित करता है, जिनके साथ इंटरैक्ट करने पर एक बहु-चरणीय संक्रमण श्रृंखला शुरू हो जाती है और दूरस्थ निगरानी और डेटा चोरी की क्षमताएँ प्राप्त होती हैं।

सोशल इंजीनियरिंग और लुअर डिलीवरी

हमलावर भर्ती-शैली के संदेश और ज़िप अटैचमेंट तैयार करते हैं जिनमें नकली पीडीएफ फाइलों के साथ-साथ दुर्भावनापूर्ण शॉर्टकट (एलएनके) या पीडीएफ के रूप में प्रच्छन्न निष्पादन योग्य फाइलें होती हैं। ये दस्तावेज़ प्रलोभन विशेष रूप से मार्केटिंग भूमिकाओं (एक प्रलोभन में मैरियट मार्केटिंग की नौकरी का संदर्भ दिया गया था) को लक्षित करके लक्षित होते हैं ताकि लक्षित पीड़ितों के बीच विश्वसनीयता बढ़ाई जा सके। पीड़ितों को नौकरी विवरण का 'पूर्वावलोकन' करने या डाउनलोड करने के लिए प्रोत्साहित किया जाता है, जिससे बहु-चरणीय शोषण क्रम शुरू होता है।

संक्रमण श्रृंखला प्रगति

ज़िप पैकेज में एक दुर्भावनापूर्ण LNK शामिल है जो एक एम्बेडेड PowerShell स्क्रिप्ट चलाता है। यह स्क्रिप्ट एक बाहरी सर्वर से संपर्क करके एक ल्यूर PDF और एक अलग ज़िप बंडल प्राप्त करती है जिसमें XtraViewer (रिमोट-डेस्कटॉप सॉफ़्टवेयर) से संबंधित फ़ाइलें होती हैं। XtraViewer घटकों को निष्पादित किया जाता है - संभवतः दृढ़ता या दूरस्थ पहुँच स्थापित करने के लिए - और यह श्रृंखला तब तक जारी रहती है जब तक कि Go निष्पादन योग्य को तैनात नहीं किया जाता।

एज रीडायरेक्ट का दुरुपयोग

इस अभियान की एक प्रमुख चाल एक लैंडिंग पृष्ठ है जो एक नकली 'असमर्थित ब्राउज़र' त्रुटि दिखाता है और पीड़ितों को URL कॉपी करके उसे Microsoft Edge में खोलने का निर्देश देता है। स्क्रिप्टेड रीडायरेक्ट अक्सर आधुनिक ब्राउज़रों द्वारा ब्लॉक कर दिए जाते हैं, इसलिए हमलावर उपयोगकर्ता को एक मैन्युअल क्रिया (Edge में कॉपी/पेस्ट) करने के लिए राजी करने पर निर्भर करते हैं, जिसे तब उपयोगकर्ता द्वारा शुरू किया गया माना जाता है और डाउनलोड प्रवाह जारी रहने देता है। Edge में खोलने पर, पृष्ठ एक और नकली त्रुटि दिखाता है जिसमें दावा किया जाता है कि PDF को संपीड़ित करके 'आपके डिवाइस पर भेज दिया गया है', जिससे एक स्वचालित ZIP डाउनलोड शुरू हो जाता है।

पेलोड और डिकॉय नामकरण ट्रिक

स्वतः डाउनलोड होने वाले ज़िप कोड में कथित नौकरी का विवरण और एक दुर्भावनापूर्ण निष्पादन योग्य फ़ाइल होती है जिसका नाम PDF जैसा दिखाई देता है (उदाहरण के लिए, 'Marriott_Marketing_Job_Description.pdf.exe')। यह निष्पादन योग्य फ़ाइल नाम पैडिंग ('.pdf' और '.exe' के बीच अतिरिक्त रिक्त स्थान) का उपयोग करता है, इसलिए यह कुछ दृश्यों में PDF जैसा दिखाई देता है, जिससे पीड़ितों द्वारा इसे चलाने की संभावना बढ़ जाती है।

वैम्पायर बॉट की क्षमताएँ

गिरा हुआ एक्ज़ीक्यूटेबल एक गोलांग बाइनरी है जिसे वैम्पायर बॉट कहा जाता है। इसकी देखी गई क्षमताएँ इस प्रकार हैं:

• संक्रमित मेज़बान की गणना और प्रोफ़ाइल बनाना,

• डेटा का एक व्यापक सेट चुराना (क्रेडेंशियल स्टोर, फ़ाइलें, आदि),

• कॉन्फ़िगर करने योग्य शेड्यूल पर स्क्रीनशॉट लेना,
  और

• कमांड प्राप्त करने या अतिरिक्त पेलोड डाउनलोड करने के लिए हमलावर सर्वर (api3.samsungcareers.work के रूप में रिपोर्ट किया गया) के साथ कमांड-एंड-कंट्रोल संचार बनाए रखना।

एट्रिब्यूशन और इन्फ्रास्ट्रक्चर

विश्लेषक इस गतिविधि को बुनियादी ढाँचे के पुन: उपयोग — उदाहरण के लिए, एक आईपी पता (103.124.95.161), जो पहले वियतनाम से जुड़े ऑपरेटरों से जुड़ा था — और लक्ष्यीकरण पैटर्न के आधार पर वियतनाम से जोड़ते हैं। बैटशैडो ने पहले भी डिजिटल मार्केटिंग पेशेवरों को निशाना बनाया है और यह उन अन्य आर्थिक रूप से प्रेरित वियतनामी समूहों के साथ ओवरलैप करता है जो फ़ेसबुक बिज़नेस की संपत्तियों को हाईजैक करने वाले चोरों को तैनात करने के लिए जाने जाते हैं। ऐसा प्रतीत होता है कि यह समूह कम से कम एक साल से सक्रिय है और इसने पहले एजेंट टेस्ला, लुम्मा स्टीलर, वेनम आरएटी सहित मैलवेयर फ़ैमिली वितरित करने के लिए samsung-work.com जैसे डोमेन का इस्तेमाल किया है, और अक्टूबर 2024 में, इसी तरह की फर्जी नौकरी विवरण फ़ाइलों के माध्यम से क्वासर आरएटी वितरित करने के अभियान चलाए हैं।

यह हमला प्रभावी क्यों है?

बैटशैडो उद्योग-संबंधित प्रलोभनों (मार्केटिंग जॉब विज्ञापन), फ़ाइल नाम ट्रिक्स, चरणबद्ध पेलोड (सरल फ़ाइल स्कैनिंग से बचने के लिए), और एक ऐसे प्रवाह को जोड़ता है जो स्क्रिप्टेड रीडायरेक्ट सुरक्षा को बायपास करने के लिए मैन्युअल ब्राउज़र क्रिया को बाध्य करता है। सोशल इंजीनियरिंग और बहु-चरणीय तकनीकी चरणों का यह मिश्रण सफल समझौता और दीर्घकालिक पहुँच की संभावनाओं को बढ़ाता है।

निष्कर्ष

बैटशैडो का अभियान इस बात पर ज़ोर देता है कि लक्षित सोशल इंजीनियरिंग कितनी प्रभावी होती है जब इसे एक चरणबद्ध, भ्रामक तकनीकी श्रृंखला के साथ जोड़ा जाता है। जो संगठन अक्सर भर्ती करते हैं या आवेदक ट्रैफ़िक संभालते हैं — और डिजिटल मार्केटिंग के पेशेवर जो ऑनलाइन संपत्तियों का प्रबंधन करते हैं — उन्हें मेल/अटैचमेंट प्रबंधन को सख्त करना चाहिए, सख्त निष्पादन नियंत्रण लागू करने चाहिए, और भर्ती-शैली के अटैचमेंट को मान्य होने तक उच्च-जोखिम वाला मानना चाहिए।