Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Advanced Persistent Threat (APT) Vampire Bot kártevő

Vampire Bot kártevő

Mezo -ra Advanced Persistent Threat (APT), Malware-ben
Fordítás ide:

Egy BatShadow néven azonosított vietnami anyanyelvű bűnöző célzott kampányt futtat, amelynek célja, hogy álláskeresőket és digitális marketing szakembereket csábítson egy korábban nem dokumentált, Go-alapú rosszindulatú program, a kutatók által Vampire Botnak nevezett program telepítésére. A csoport toborzóknak adja ki magát, és látszólag legitim munkaköri leírásokat és vállalati PDF-eket terjeszt, amelyekkel interakcióba lépve többlépcsős fertőzési láncot indítanak el, és távoli megfigyelési és adatlopási képességeket biztosítanak.

Szociális manipuláció és csaliszállítás

A támadók toborzásszerű üzeneteket és ZIP-mellékleteket készítenek, amelyek csali PDF-fájlokat, rosszindulatú parancsikonokat (LNK) vagy PDF-nek álcázott futtatható fájlokat tartalmaznak. A dokumentumcsapdák kifejezetten marketinges pozíciókat céloznak meg (az egyik csali egy Marriott marketinges állásra hivatkozott), hogy növeljék a hitelességet a célzott áldozatok körében. Az áldozatokat arra ösztönzik, hogy „tekintsék meg” vagy töltsék le a munkaköri leírást, amely elindítja a többlépcsős kihasználási sorozatot.

Fertőzéslánc progressziója

A ZIP csomagok tartalmaznak egy rosszindulatú LNK-t, amely egy beágyazott PowerShell szkriptet futtat. Ez a szkript egy külső szerverrel lép kapcsolatba, hogy lekérjen egy csali PDF-et és egy külön ZIP-csomagot, amely az XtraViewerhez (távoli asztali szoftver) kapcsolódó fájlokat tartalmazza. Az XtraViewer komponensei végrehajtódnak – valószínűleg a perzisztencia vagy a távoli hozzáférés érdekében –, és a lánc addig folytatódik, amíg a Go futtatható fájl telepítésre nem kerül.

Edge-átirányítások visszaélésszerű használata

A kampány egyik kulcsfontosságú trükkje egy olyan céloldal, amely egy hamis „nem támogatott böngésző” hibát jelenít meg, és arra utasítja az áldozatokat, hogy másolja ki az URL-t, és nyissa meg a Microsoft Edge-ben. A szkriptelt átirányításokat a modern böngészők gyakran blokkolják, így a támadók arra támaszkodnak, hogy rávegyék a felhasználót egy kézi művelet végrehajtására (másolás/beillesztés az Edge-be), amelyet ezután a felhasználó által kezdeményezettnek tekint, és lehetővé teszi a letöltési folyamat folytatását. Miután az oldalt megnyitották az Edge-ben, egy másik hamis hibaüzenetet jelenít meg, amely azt állítja, hogy a PDF-et tömörítették és „elküldték az eszközére”, ami automatikus ZIP letöltést indít el.

Hasznos teher és csali elnevezési trükk

Az automatikusan letöltött ZIP fájl tartalmazza az állítólagos munkaköri leírást és egy kártékony futtatható fájlt, amely PDF-ként néz ki (például: „Marriott_Marketing_Job_Description.pdf.exe”). A futtatható fájl fájlnév-kiegészítést (extra szóközöket a „.pdf” és az „.exe” között) használ, így egyes nézetekben PDF-ként jelenik meg, ami növeli annak valószínűségét, hogy az áldozatok lefuttatják.

A Vampire Bot képességei

A letöltött futtatható fájl egy Golang bináris fájl, melynek neve Vampire Bot. A megfigyelt képességei a következők:

  • a fertőzött gazdaszervezet számbavétele és profilalkotása,
  • széles körű adatok ellopása (hitelesítőadat-tárolók, fájlok stb.),
  • képernyőképek készítése konfigurálható ütemterv szerint,
    és
  • parancs- és vezérlési kommunikáció fenntartása egy támadó szerverrel (api3.samsungcareers.work néven jelentve) parancsok fogadása vagy további hasznos adatok letöltése céljából.

Hozzárendelés és infrastruktúra

Az elemzők ezt a tevékenységet Vietnamhoz kötik az infrastruktúra újrafelhasználása – például egy korábban Vietnámmal kapcsolatban álló operátorokhoz kötött IP-cím (103.124.95.161) – és a célzási minták alapján. A BatShadow korábban is célba vett digitális marketing szakembereket, és átfedésben van más, pénzügyileg motivált vietnami csoportokkal, amelyekről ismert, hogy ellopó programokat alkalmaznak, amelyek eltérítik a Facebook üzleti eszközeit. Úgy tűnik, a csoport legalább egy éve aktív, és korábban olyan domaineket használt, mint a samsung-work.com, olyan rosszindulatú programcsaládok terjesztésére, mint az Agent Tesla, a Lumma Stealer, a Venom RAT, és 2024 októberében olyan kampányokat indított, amelyek Quasar RAT-ot terjesztettek hasonlóan csapdákkal ellátott munkaköri leírásfájlokon keresztül.

Miért hatékony a támadás?

A BatShadow iparági szempontból releváns csalikat (marketing álláshirdetéseket), fájlnév-trükköket, szakaszos hasznos adatokat (az egyszerű fájlvizsgálat megkerülésére) és egy olyan folyamatot ötvöz, amely manuális böngészőműveletet kényszerít ki a szkriptelt átirányítási védelmek megkerülésére. A társadalmi manipuláció és a többlépcsős technikai lépések ezen keveréke növeli a sikeres feltörés és a hosszú távú hozzáférés esélyét.

Következtetés

A BatShadow kampánya kiemeli, hogy mennyire hatékony a célzott pszichológiai manipuláció, ha egy szakaszos, kitérő technikai láncolattal párosul. Azoknak a szervezeteknek, amelyek gyakran toboroznak vagy jelentkezői forgalmat kezelnek – valamint a digitális marketing szakembereinek, akik online eszközöket kezelnek – meg kell erősíteniük a levelek/mellékletek kezelését, szigorú végrehajtási ellenőrzéseket kell alkalmazniuk, és a toborzási jellegű mellékleteket magas kockázatúként kell kezelniük a jóváhagyásig.

Felkapott

A postafiókod verziója megszűnik – átverés

Adathalászat, Spam
Az online csalók folyamatosan új trükköket fejlesztenek ki a felhasználók megtévesztésére és az értékes adatok ellopására. Ilyen például a „Postafiókod verziója megszűnik” típusú átverés, egy adathalász kampány, amelynek célja a gyanútlan áldozatoktól származó bejelentkezési adatok megszerzése. A kiberbiztonsági szakértők arra figyelmeztetnek, hogy ezek a csalárd üzenetek nem kapcsolódnak...

Legnézettebb

Betöltés...