Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Geavanceerde aanhoudende dreiging (APT) Vampire Bot Malware

Vampire Bot Malware

Tegen Mezo in Geavanceerde aanhoudende dreiging (APT), Malware
Vertalen naar:

Een Vietnameestalige cybercrimineel die wordt gevolgd als BatShadow, voert een gerichte campagne die werkzoekenden en professionals in de digitale marketing ertoe aanzet een eerder niet-gedocumenteerde Go-gebaseerde malware te installeren die de onderzoekers Vampire Bot noemen. De groep doet zich voor als recruiters en verspreidt ogenschijnlijk legitieme functiebeschrijvingen en bedrijfs-pdf's die, wanneer ermee wordt gecommuniceerd, een meerfasige infectieketen in gang zetten en mogelijkheden bieden voor bewaking op afstand en gegevensdiefstal.

Social engineering en lokaaslevering

De aanvallers maken berichten in wervingsstijl en zip-bijlagen met lok-pdf's, kwaadaardige snelkoppelingen (LNK's) of uitvoerbare bestanden vermomd als pdf's. De documenten zijn specifiek gericht op marketingfuncties (één van de lokberichten verwees naar een marketingfunctie bij Marriott) om de geloofwaardigheid bij de beoogde slachtoffers te vergroten. Slachtoffers worden aangemoedigd om de functiebeschrijving te bekijken of te downloaden, wat het meerfasenplan voor de exploitatie in gang zet.

Progressie van de infectieketen

De ZIP-pakketten bevatten een schadelijke LNK die een ingebouwd PowerShell-script uitvoert. Dat script maakt contact met een externe server om een PDF-bestand en een apart ZIP-bestand op te halen met bestanden die betrekking hebben op XtraViewer (software voor externe desktops). De XtraViewer-componenten worden uitgevoerd – waarschijnlijk om persistentie of externe toegang te creëren – en de keten gaat door totdat het uitvoerbare bestand van Go is geïmplementeerd.

Misbruik van Edge-omleidingen

Een belangrijke truc in de campagne is een landingspagina die een neppe 'niet-ondersteunde browser'-foutmelding toont en slachtoffers instrueert de URL te kopiëren en te openen in Microsoft Edge. Scripted redirects worden vaak geblokkeerd door moderne browsers, dus de aanvallers proberen de gebruiker te overtuigen een handmatige actie uit te voeren (kopiëren/plakken in Edge), die vervolgens wordt behandeld als door de gebruiker geïnitieerd en de downloadstroom kan worden voortgezet. Eenmaal geopend in Edge, toont de pagina een andere neppe foutmelding die beweert dat de PDF is gecomprimeerd en 'naar uw apparaat is verzonden', wat een automatische ZIP-download activeert.

Truc met lading en lokmiddelnaamgeving

De automatisch gedownloade ZIP bevat de vermeende functiebeschrijving en een schadelijk uitvoerbaar bestand met een naam die lijkt op een PDF (bijvoorbeeld 'Marriott_Marketing_Job_Description.pdf.exe'). Het uitvoerbare bestand maakt gebruik van opvulling van bestandsnamen (extra spaties tussen '.pdf' en '.exe'), waardoor het er in sommige weergaven uitziet als een PDF, waardoor de kans groter wordt dat slachtoffers het bestand openen.

Mogelijkheden van Vampire Bot

Het verwijderde uitvoerbare bestand is een Golang-binary genaamd Vampire Bot. De waargenomen mogelijkheden omvatten:

  • het opsommen en profileren van de geïnfecteerde gastheer,
  • het stelen van een groot aantal gegevens (inloggegevens, bestanden, enz.),
  • het maken van screenshots volgens een configureerbaar schema,
    En
  • het onderhouden van command-and-control-communicatie met een aanvallende server (gerapporteerd als api3.samsungcareers.work) om opdrachten te ontvangen of extra payloads te downloaden.

Attributie en infrastructuur

Analisten koppelen deze activiteit aan Vietnam op basis van hergebruik van infrastructuur – bijvoorbeeld een IP-adres (103.124.95.161) dat eerder aan aan Vietnam gelinkte operators was gekoppeld – en op basis van targetingpatronen. BatShadow heeft zich eerder gericht op professionals in de digitale marketing en overlapt met andere financieel gemotiveerde Vietnamese groepen waarvan bekend is dat ze stealers inzetten die Facebook Business-activa kapen. De groep lijkt al minstens een jaar actief te zijn en heeft eerder domeinen zoals samsung-work.com gebruikt om malwarefamilies te verspreiden, waaronder Agent Tesla, Lumma Stealer, Venom RAT en, in oktober 2024, campagnes die Quasar RAT verspreidden via soortgelijke functiebeschrijvingsbestanden met boobytraps.

Waarom is deze aanval effectief?

BatShadow combineert brancherelevante lokkertjes (vacatures), trucs met bestandsnamen, gefaseerde payloads (om eenvoudige bestandsscans te omzeilen) en een flow die een handmatige browseractie afdwingt om gescripte omleidingsbeveiligingen te omzeilen. Deze combinatie van social engineering en technische stappen met meerdere stappen vergroot de kans op succesvolle inbreuk en toegang op lange termijn.

Conclusie

De campagne van BatShadow onderstreept hoe effectief gerichte social engineering is in combinatie met een gefaseerde, ontwijkende technische keten. Organisaties die regelmatig werven of sollicitantenverkeer verwerken – en professionals in digitale marketing die online middelen beheren – zouden de verwerking van e-mails en bijlagen moeten verbeteren, strikte uitvoeringscontroles moeten toepassen en bijlagen in wervingsstijl als risicovol moeten beschouwen totdat ze zijn gevalideerd.

Trending

Meest bekeken

Bezig met laden...