Rabatttilbud for flere lisenser
Trusseldatabase Advanced Persistent Threat (APT) Vampire Bot-skadevare

Vampire Bot-skadevare

Med Mezo i Advanced Persistent Threat (APT), Skadelig programvare
Oversett til:

En vietnamesisktalende trusselaktør sporet som BatShadow kjører en målrettet kampanje som lokker jobbsøkere og digitale markedsføringseksperter til å installere en tidligere udokumentert Go-basert skadevare som forskerne kaller Vampire Bot. Gruppen utgir seg for å være rekrutterere og distribuerer tilsynelatende legitime stillingsbeskrivelser og bedrifts-PDF-er som, når de samhandles med, utløser en flertrinns infeksjonskjede og leverer fjernovervåking og datatyverifunksjoner.

Sosial manipulering og lokkemiddellevering

Angriperne lager rekrutteringslignende meldinger og ZIP-vedlegg som inneholder PDF-filer med lokkemidler sammen med ondsinnede snarveier (LNK) eller kjørbare filer forkledd som PDF-er. Dokumentlokkemidlene er spesielt rettet mot markedsføringsroller (et lokkemiddel refererte til en markedsføringsjobb hos Marriott) for å øke troverdigheten hos de tiltenkte ofrene. Ofrene oppfordres til å «forhåndsvise» eller laste ned stillingsbeskrivelsen, som starter den flertrinns utnyttelsessekvensen.

Infeksjonskjedeprogresjon

ZIP-pakkene inneholder en ondsinnet LNK som kjører et innebygd PowerShell-skript. Skriptet kontakter en ekstern server for å hente en lokke-PDF og en separat ZIP-pakke som inneholder filer relatert til XtraViewer (programvare for eksternt skrivebord). XtraViewer-komponentene kjøres – sannsynligvis for å etablere persistens eller ekstern tilgang – og kjeden fortsetter til den kjørbare Go-filen er distribuert.

Misbruk av Edge-viderekoblinger

Et sentralt triks i kampanjen er en landingsside som viser en falsk feilmelding om at «ikke støttet nettleser» og instruerer ofrene til å kopiere URL-en og åpne den i Microsoft Edge. Skriptbaserte omdirigeringer blokkeres ofte av moderne nettlesere, så angriperne er avhengige av å overbevise brukeren om å utføre en manuell handling (kopier/lim inn i Edge), som deretter behandles som brukerinitiert og lar nedlastingsflyten fortsette. Når siden åpnes i Edge, viser den en annen falsk feilmelding som hevder at PDF-filen ble komprimert og «sendt til enheten din», noe som utløser en automatisk ZIP-nedlasting.

Navngivningstriks for nyttelast og lokkedue

Den automatisk nedlastede ZIP-filen inneholder den påståtte stillingsbeskrivelsen og en ondsinnet kjørbar fil som er navngitt for å se ut som en PDF (for eksempel «Marriott_Marketing_Job_Description.pdf.exe»). Den kjørbare filen bruker filnavnpolstring (ekstra mellomrom mellom «.pdf» og «.exe»), slik at den ser ut som en PDF i noen visninger, noe som øker sannsynligheten for at ofrene kjører den.

Evner til vampyrbot

Den slettede kjørbare filen er en Golang-binærfil kalt Vampire Bot. Dens observerte funksjoner inkluderer:

  • opplisting og profilering av den infiserte verten,
  • stjele et bredt sett med data (legitimasjonsarkiv, filer osv.),
  • ta skjermbilder etter en konfigurerbar tidsplan,
    og
  • opprettholde kommando- og kontrollkommunikasjon med en angriperserver (rapportert som api3.samsungcareers.work) for å motta kommandoer eller laste ned ytterligere nyttelaster.

Attribusjon og infrastruktur

Analytikere knytter denne aktiviteten til Vietnam basert på gjenbruk av infrastruktur – for eksempel en IP-adresse (103.124.95.161) som tidligere var knyttet til operatører med tilknytning til Vietnam – og på målrettingsmønstre. BatShadow har målrettet seg digitale markedsføringsfagfolk tidligere og overlapper med andre økonomisk motiverte vietnamesiske grupper som er kjent for å bruke tyver som kaprer Facebook Business-eiendeler. Gruppen ser ut til å ha vært aktiv i minst et år og har tidligere brukt domener som samsung-work.com til å distribuere skadevarefamilier, inkludert Agent Tesla, Lumma Stealer, Venom RAT, og i oktober 2024 kampanjer som distribuerte Quasar RAT via lignende fellede stillingsbeskrivelsesfiler.

Hvorfor angrepet er effektivt?

BatShadow kombinerer bransjerelevante lokkemidler (markedsføringsannonser), filnavntriks, trinnvise nyttelaster (for å unngå enkel filskanning) og en flyt som tvinger en manuell nettleserhandling til å omgå skriptbaserte omdirigeringsbeskyttelser. Denne blandingen av sosial manipulering og flertrinns tekniske trinn øker sjansene for vellykket kompromittering og langvarig tilgang.

Konklusjon

BatShadows kampanje understreker hvor effektiv målrettet sosial manipulering er når den kombineres med en trinnvis, unnvikende teknisk kjede. Organisasjoner som rekrutterer ofte eller håndterer søkertrafikk – og fagfolk innen digital markedsføring som administrerer nettbaserte ressurser – bør skjerpe håndteringen av e-post/vedlegg, anvende strenge utførelseskontroller og behandle rekrutteringslignende vedlegg som høyrisiko inntil de er validert.

Trender

Mest sett

Laster inn...