Ponuda s popustom na više licenci
Baza prijetnji Napredna trajna prijetnja (APT) Zlonamjerni softver Vampire Bot

Zlonamjerni softver Vampire Bot

Do Mezo. Napredna trajna prijetnja (APT), Malware. godine
Prevedi na:

Vijetnamski govornik prijetnje, praćen kao BatShadow, vodi ciljanu kampanju koja namamljuje tražitelje posla i stručnjake za digitalni marketing da instaliraju prethodno nedokumentirani zlonamjerni softver temeljen na Gou koji istraživači nazivaju Vampire Bot. Grupa se lažno predstavlja kao regruteri i distribuira naizgled legitimne opise poslova i korporativne PDF-ove koji, kada se s njima stupi u interakciju, pokreću višestupanjski lanac zaraze i pružaju mogućnosti daljinskog nadzora i krađe podataka.

Socijalni inženjering i dostava mamaca

Napadači izrađuju poruke u stilu regrutiranja i ZIP priloge koji sadrže PDF datoteke mamaca uz zlonamjerne prečace (LNK) ili izvršne datoteke prikrivene kao PDF-ovi. Dokumenti mamaca posebno su usmjereni na marketinške uloge (jedan mamac se odnosio na posao u marketingu tvrtke Marriott) kako bi se povećala vjerodostojnost kod namjeravanih žrtava. Žrtve se potiču da 'pregledaju' ili preuzmu opis posla, što pokreće višefazni slijed iskorištavanja.

Napredak lanca infekcije

ZIP paketi uključuju zlonamjerni LNK koji pokreće ugrađeni PowerShell skript. Taj skript kontaktira vanjski poslužitelj kako bi dohvatio PDF za uzbunu i zaseban ZIP paket koji sadrži datoteke povezane s XtraViewerom (softver za udaljenu radnu površinu). Komponente XtraViewera se izvršavaju - vjerojatno kako bi se uspostavila postojanost ili udaljeni pristup - i lanac se nastavlja sve dok se ne implementira Go izvršna datoteka.

Zloupotreba preusmjeravanja na rubu

Ključni trik u kampanji je odredišna stranica koja prikazuje lažnu pogrešku "nepodržani preglednik" i upućuje žrtve da kopiraju URL i otvore ga u Microsoft Edgeu. Skriptirana preusmjeravanja često blokiraju moderni preglednici, pa se napadači oslanjaju na uvjeravanje korisnika da izvrši ručnu radnju (kopiraj/lijepi u Edge), što se zatim tretira kao da je pokrenuo korisnik i omogućuje nastavak preuzimanja. Nakon otvaranja u Edgeu, stranica prikazuje još jednu lažnu pogrešku u kojoj se tvrdi da je PDF komprimiran i "poslan na vaš uređaj", što pokreće automatsko preuzimanje ZIP datoteke.

Trik imenovanja korisnog tereta i mamca

Automatski preuzeta ZIP datoteka sadrži navodni opis posla i zlonamjernu izvršnu datoteku nazvanu da izgleda kao PDF (na primjer, 'Marriott_Marketing_Job_Description.pdf.exe'). Izvršna datoteka koristi ispunu naziva datoteke (dodatne razmake između '.pdf' i '.exe') pa u nekim prikazima izgleda kao PDF, što povećava vjerojatnost da će je žrtve pokrenuti.

Mogućnosti Vampire Bot-a

Izbačena izvršna datoteka je Golang binarni program nazvan Vampire Bot. Njegove uočene mogućnosti uključuju:

  • nabrajanje i profiliranje zaraženog domaćina,
  • krađa širokog skupa podataka (skladišta vjerodajnica, datoteke itd.),
  • snimanje zaslona prema konfiguriranom rasporedu,
    i
  • održavanje komunikacije zapovijedanja i upravljanja s napadačkim poslužiteljem (prijavljen kao api3.samsungcareers.work) radi primanja naredbi ili preuzimanja dodatnih sadržaja.

Atribucija i infrastruktura

Analitičari povezuju ovu aktivnost s Vijetnamom na temelju ponovne upotrebe infrastrukture - na primjer, IP adrese (103.124.95.161) koja je prethodno bila povezana s operaterima povezanim s Vijetnamom - i na temelju obrazaca ciljanja. BatShadow je već prije ciljao stručnjake za digitalni marketing i preklapa se s drugim financijski motiviranim vijetnamskim skupinama poznatim po korištenju kradljivaca koji otimaju imovinu Facebook Businessa. Čini se da je skupina aktivna najmanje godinu dana i prethodno je koristila domene poput samsung-work.com za distribuciju obitelji zlonamjernog softvera, uključujući Agent Tesla, Lumma Stealer, Venom RAT, a u listopadu 2024. i kampanje distribucije Quasar RAT-a putem slično miniranih datoteka s opisom posla.

Zašto je napad učinkovit?

BatShadow kombinira mamce relevantne za industriju (marketinške oglase za posao), trikove s nazivima datoteka, pripremljene korisne podatke (kako bi se izbjeglo jednostavno skeniranje datoteka) i tijek koji prisiljava ručnu radnju preglednika kako bi se zaobišla skriptirana zaštita preusmjeravanja. Ta kombinacija društvenog inženjeringa i višefaznih tehničkih koraka povećava šanse za uspješnu kompromitaciju i dugoročni pristup.

Zaključak

BatShadowova kampanja naglašava koliko je učinkovit ciljani društveni inženjering uparen s postupnim, izbjegavajućim tehničkim lancem. Organizacije koje često zapošljavaju ili upravljaju prometom kandidata - i stručnjaci u digitalnom marketingu koji upravljaju online imovinom - trebali bi pooštriti rukovanje poštom/privitcima, primijeniti stroge kontrole izvršenja i tretirati privitke u stilu zapošljavanja kao visokorizične dok se ne potvrde.

U trendu

Verzija vašeg poštanskog sandučića bit će ukinuta -...

Krađa identiteta, Spam
Online prevaranti neprestano razvijaju nove trikove kako bi prevarili korisnike i ukrali vrijedne podatke. Jedan takav primjer je prijevara 'Verzija vašeg poštanskog sandučića bit će ukinuta', phishing kampanja osmišljena za prikupljanje prijavnih podataka od ništa ne slutećih žrtava. Stručnjaci za kibernetičku sigurnost upozoravaju da ove lažne poruke nisu povezane s legitimnim tvrtkama,...

Nagledanije

Učitavam...