Preventivo sconto multi-licenza
Database delle minacce Minaccia persistente avanzata (APT) Malware Vampire Bot

Malware Vampire Bot

Entro Mezo nel Minaccia persistente avanzata (APT), Malware
Traduci in:

Un autore di minacce di lingua vietnamita, identificato come BatShadow, sta conducendo una campagna mirata che induce chi cerca lavoro e i professionisti del marketing digitale a installare un malware basato su Go, precedentemente non documentato, che i ricercatori chiamano Vampire Bot. Il gruppo si spaccia per reclutatori e distribuisce descrizioni di lavoro e PDF aziendali apparentemente legittimi che, se interagiti, innescano una catena di infezione a più fasi e forniscono funzionalità di sorveglianza remota e furto di dati.

Ingegneria sociale e consegna di esche

Gli aggressori creano messaggi in stile reclutamento e allegati ZIP contenenti file PDF esca, oltre a collegamenti dannosi (LNK) o eseguibili camuffati da PDF. I documenti esca sono specificamente rivolti a ruoli di marketing (un'esca faceva riferimento a una posizione di marketing presso Marriott) per aumentare la credibilità agli occhi delle vittime designate. Le vittime vengono incoraggiate a visualizzare in anteprima o scaricare la descrizione del lavoro, avviando così la sequenza di sfruttamento in più fasi.

Progressione della catena infettiva

I pacchetti ZIP includono un LNK dannoso che esegue uno script PowerShell incorporato. Tale script contatta un server esterno per recuperare un PDF esca e un pacchetto ZIP separato contenente file relativi a XtraViewer (software per desktop remoto). I componenti di XtraViewer vengono eseguiti, probabilmente per stabilire la persistenza o l'accesso remoto, e la catena continua fino alla distribuzione dell'eseguibile Go.

Abuso dei reindirizzamenti di Edge

Un trucco chiave della campagna è una landing page che mostra un falso errore di "browser non supportato" e chiede alle vittime di copiare l'URL e aprirlo in Microsoft Edge. I reindirizzamenti tramite script sono spesso bloccati dai browser moderni, quindi gli aggressori si affidano a convincere l'utente a eseguire un'azione manuale (copia/incolla in Edge), che viene poi trattata come avviata dall'utente e consente il proseguimento del download. Una volta aperta in Edge, la pagina mostra un altro falso errore che afferma che il PDF è stato compresso e "inviato al tuo dispositivo", il che attiva un download ZIP automatico.

Trucco per nominare il carico utile e l’esca

Il file ZIP scaricato automaticamente contiene la presunta descrizione del lavoro e un file eseguibile dannoso denominato in modo da apparire come un PDF (ad esempio, 'Marriott_Marketing_Job_Description.pdf.exe'). Il file eseguibile utilizza il padding (spazi aggiuntivi tra '.pdf' e '.exe') in modo da apparire come un PDF in alcune visualizzazioni, aumentando la probabilità che le vittime lo eseguano.

Capacità del Vampire Bot

L'eseguibile eliminato è un binario Golang denominato Vampire Bot. Le sue capacità osservate includono:

  • enumerazione e profilazione dell'ospite infetto,
  • rubare un ampio set di dati (archivi di credenziali, file, ecc.),
  • acquisizione di schermate secondo una pianificazione configurabile,
    E
  • mantenendo la comunicazione di comando e controllo con un server aggressore (segnalato come api3.samsungcareers.work) per ricevere comandi o scaricare payload aggiuntivi.

Attribuzione e infrastruttura

Gli analisti collegano questa attività al Vietnam sulla base del riutilizzo dell'infrastruttura, ad esempio un indirizzo IP (103.124.95.161) precedentemente associato a operatori collegati al Vietnam, e dei modelli di targeting. BatShadow ha già preso di mira professionisti del marketing digitale in passato e si sovrappone ad altri gruppi vietnamiti motivati finanziariamente, noti per l'impiego di stealer che dirottano le risorse di Facebook Business. Il gruppo sembra essere attivo da almeno un anno e ha precedentemente utilizzato domini come samsung-work.com per distribuire famiglie di malware tra cui Agent Tesla, Lumma Stealer, Venom RAT e, nell'ottobre 2024, campagne che distribuivano Quasar RAT tramite file di descrizione delle mansioni contenenti trappole esplosive simili.

Perché l’attacco è efficace?

BatShadow combina esche pertinenti al settore (annunci di lavoro di marketing), trucchi per i nomi dei file, payload a stadi (per eludere la semplice scansione dei file) e un flusso che costringe un'azione manuale del browser a bypassare le protezioni di reindirizzamento tramite script. Questo mix di ingegneria sociale e passaggi tecnici in più fasi aumenta le probabilità di compromissione riuscita e di accesso a lungo termine.

Conclusione

La campagna di BatShadow sottolinea l'efficacia dell'ingegneria sociale mirata se abbinata a una catena tecnica evasiva e pianificata. Le organizzazioni che reclutano frequentemente o gestiscono il traffico di candidati – e i professionisti del marketing digitale che gestiscono risorse online – dovrebbero rafforzare la gestione di posta/allegati, applicare rigorosi controlli di esecuzione e trattare gli allegati in stile reclutamento come ad alto rischio fino alla loro convalida.

Tendenza

I più visti

Caricamento in corso...