Oferta rabatowa na wiele licencji
Baza danych zagrożeń Zaawansowane trwałe zagrożenie (APT) Oprogramowanie złośliwe Vampire Bot

Oprogramowanie złośliwe Vampire Bot

Do Mezo w Zaawansowane trwałe zagrożenie (APT), Złośliwe oprogramowanie
Przetłumacz na:

Wietnamskojęzyczny cyberprzestępca, śledzony jako BatShadow, prowadzi ukierunkowaną kampanię, która namawia osoby poszukujące pracy i specjalistów od marketingu cyfrowego do zainstalowania nieudokumentowanego wcześniej złośliwego oprogramowania opartego na Go, które badacze nazywają Vampire Bot. Grupa podszywa się pod rekruterów i rozpowszechnia pozornie legalne opisy stanowisk pracy oraz korporacyjne pliki PDF, które po interakcji uruchamiają wieloetapowy łańcuch infekcji i umożliwiają zdalny nadzór oraz kradzież danych.

Inżynieria społeczna i dostarczanie przynęt

Atakujący tworzą wiadomości w stylu rekrutacyjnym i załączniki ZIP, które zawierają fałszywe pliki PDF wraz ze złośliwymi skrótami (LNK) lub plikami wykonywalnymi imitującymi pliki PDF. Dokumenty te są specjalnie wymierzone w osoby poszukujące pracy w marketingu (jedna z nich odnosiła się do stanowiska w dziale marketingu w Marriott), aby zwiększyć wiarygodność w oczach potencjalnych ofiar. Ofiary są zachęcane do „podglądu” lub pobrania opisu stanowiska, co rozpoczyna wieloetapową sekwencję ataku.

Postęp łańcucha infekcji

Pakiety ZIP zawierają złośliwy kod LNK, który uruchamia osadzony skrypt programu PowerShell. Skrypt ten kontaktuje się z serwerem zewnętrznym w celu pobrania pliku PDF-a-wabika oraz oddzielnego pakietu ZIP zawierającego pliki związane z programem XtraViewer (oprogramowanie do zdalnego pulpitu). Komponenty programu XtraViewer są uruchamiane – prawdopodobnie w celu ustanowienia trwałości lub zdalnego dostępu – a łańcuch zdarzeń jest kontynuowany do momentu wdrożenia pliku wykonywalnego Go.

Nadużywanie przekierowań Edge

Kluczowym trikiem w tej kampanii jest strona docelowa wyświetlająca fałszywy błąd „nieobsługiwana przeglądarka” i instruująca ofiary, aby skopiowały adres URL i otworzyły go w przeglądarce Microsoft Edge. Nowoczesne przeglądarki często blokują przekierowania skryptowe, dlatego atakujący polegają na przekonaniu użytkownika do wykonania ręcznej czynności (skopiuj/wklej do przeglądarki Edge), która jest traktowana jako zainicjowana przez użytkownika i pozwala na kontynuowanie pobierania. Po otwarciu w przeglądarce Edge strona wyświetla kolejny fałszywy błąd, twierdząc, że plik PDF został skompresowany i „wysłany na urządzenie”, co uruchamia automatyczne pobieranie pliku ZIP.

Sztuczka nazewnictwa ładunku i wabika

Automatycznie pobrany plik ZIP zawiera rzekomy opis stanowiska oraz złośliwy plik wykonywalny, którego nazwa ma przypominać plik PDF (na przykład „Marriott_Marketing_Job_Description.pdf.exe”). Plik wykonywalny wykorzystuje dopełnienie nazwy pliku (dodatkowe spacje między „.pdf” a „.exe”), dzięki czemu w niektórych widokach wygląda jak plik PDF, co zwiększa prawdopodobieństwo, że ofiary go uruchomią.

Możliwości Vampire Bot

Upuszczony plik wykonywalny to plik binarny Golanga o nazwie Vampire Bot. Jego zaobserwowane możliwości obejmują:

  • wyliczanie i profilowanie zainfekowanego hosta,
  • kradzież szerokiego zbioru danych (magazynów danych uwierzytelniających, plików itp.),
  • wykonywanie zrzutów ekranu według konfigurowalnego harmonogramu,
    I
  • utrzymywanie komunikacji typu command-and-control z serwerem atakującego (zgłaszanym jako api3.samsungcareers.work) w celu odbierania poleceń lub pobierania dodatkowych ładunków.

Atrybucja i infrastruktura

Analitycy łączą tę aktywność z Wietnamem na podstawie ponownego wykorzystania infrastruktury – na przykład adresu IP (103.124.95.161) wcześniej powiązanego z operatorami powiązanymi z Wietnamem – oraz wzorców ataków. BatShadow już wcześniej atakował specjalistów od marketingu cyfrowego i pokrywa się z działaniami innych wietnamskich grup motywowanych finansowo, znanych z wdrażania programów typu stealer, które przechwytują zasoby Facebook Business. Grupa wydaje się być aktywna od co najmniej roku i wcześniej wykorzystywała domeny takie jak samsung-work.com do dystrybucji rodzin złośliwego oprogramowania, takich jak Agent Tesla, Lumma Stealer, Venom RAT, a w październiku 2024 r. prowadziła kampanie dystrybuujące Quasar RAT za pośrednictwem plików z opisami stanowisk, które zostały zaminowane w podobny sposób.

Dlaczego atak jest skuteczny?

BatShadow łączy w sobie przynęty branżowe (marketingowe ogłoszenia o pracę), sztuczki z nazwami plików, przygotowane ładunki (aby uniknąć prostego skanowania plików) oraz mechanizm wymuszający ręczną akcję przeglądarki w celu ominięcia zabezpieczeń skryptowych przekierowań. To połączenie socjotechniki i wieloetapowych działań technicznych zwiększa szanse na skuteczne włamanie i długotrwały dostęp.

Wniosek

Kampania BatShadow podkreśla skuteczność ukierunkowanej inżynierii społecznej w połączeniu z etapowym, unikatowym łańcuchem technicznym. Organizacje, które często rekrutują lub obsługują ruch kandydatów – a także specjaliści ds. marketingu cyfrowego, którzy zarządzają zasobami online – powinny wzmocnić zasady obsługi poczty/załączników, stosować surowe kontrole realizacji i traktować załączniki w stylu rekrutacyjnym jako wysokiego ryzyka do momentu ich zatwierdzenia.

Popularne

Oszustwo „Wersja Twojej skrzynki pocztowej zostanie...

Phishing, Spam
Oszuści internetowi nieustannie opracowują nowe sztuczki, aby oszukiwać użytkowników i kraść cenne dane. Jednym z takich przykładów jest oszustwo „Version Of Your Mailbox Will Be Discontinued”, kampania phishingowa mająca na celu wyłudzenie danych logowania od niczego niepodejrzewających ofiar. Eksperci ds. cyberbezpieczeństwa ostrzegają, że te fałszywe wiadomości nie są powiązane z żadnymi...

Najczęściej oglądane

Ładowanie...