Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Ameaça Persistente Avançada (APT) Vampire Bot Malware

Vampire Bot Malware

Por Mezo em Ameaça Persistente Avançada (APT), Malware
Traduzir Para:

Um agente de ameaças de língua vietnamita, rastreado como BatShadow, está conduzindo uma campanha direcionada que induz candidatos a emprego e profissionais de marketing digital a instalar um malware baseado em Go, até então não documentado, que os pesquisadores chamam de Vampire Bot. O grupo se passa por recrutadores e distribui descrições de vagas e PDFs corporativos aparentemente legítimos que, ao interagirem com eles, desencadeiam uma cadeia de infecção em vários estágios e oferecem recursos de vigilância remota e roubo de dados.

Engenharia social e entrega de iscas

Os invasores criam mensagens de recrutamento e anexos ZIP que contêm arquivos PDF falsos, além de atalhos maliciosos (LNK) ou executáveis disfarçados de PDF. Os documentos são direcionados especificamente a cargos de marketing (um deles fazia referência a uma vaga de marketing na Marriott) para aumentar a credibilidade junto às vítimas. As vítimas são incentivadas a "visualizar" ou baixar a descrição da vaga, o que dá início à sequência de exploração em várias etapas.

Progressão da cadeia de infecção

Os pacotes ZIP incluem um LNK malicioso que executa um script PowerShell incorporado. Esse script contata um servidor externo para buscar um PDF de isca e um pacote ZIP separado que contém arquivos relacionados ao XtraViewer (software de desktop remoto). Os componentes do XtraViewer são executados — provavelmente para estabelecer persistência ou acesso remoto — e a cadeia continua até que o executável Go seja implantado.

Abuso de redirecionamentos de borda

Um truque fundamental na campanha é uma landing page que exibe um erro falso de "navegador não suportado" e instrui as vítimas a copiar a URL e abri-la no Microsoft Edge. Redirecionamentos com script são frequentemente bloqueados por navegadores modernos, então os invasores dependem de convencer o usuário a realizar uma ação manual (copiar/colar no Edge), que é então tratada como iniciada pelo usuário e permite que o fluxo de download continue. Uma vez aberta no Edge, a página exibe outro erro falso, alegando que o PDF foi compactado e "enviado para o seu dispositivo", o que aciona um download ZIP automático.

Truque de nomenclatura de carga útil e chamariz

O ZIP baixado automaticamente contém a suposta descrição da vaga e um executável malicioso com um nome que parece um PDF (por exemplo, "Marriott_Marketing_Job_Description.pdf.exe"). O executável usa preenchimento de nome de arquivo (espaços extras entre ".pdf" e ".exe") para que pareça um PDF em algumas visualizações, aumentando a probabilidade de as vítimas o executarem.

Capacidades do Vampire Bot

O executável descartado é um binário Golang chamado Vampire Bot. Seus recursos observados incluem:

  • enumerando e criando o perfil do host infectado,
  • roubar um amplo conjunto de dados (armazenamento de credenciais, arquivos, etc.),
  • tirando capturas de tela em uma programação configurável,
    e
  • manter comunicação de comando e controle com um servidor invasor (relatado como api3.samsungcareers.work) para receber comandos ou baixar cargas úteis adicionais.

Atribuição e Infraestrutura

Analistas associam essa atividade ao Vietnã com base na reutilização de infraestrutura — por exemplo, um endereço IP (103.124.95.161) anteriormente associado a operadoras vinculadas ao Vietnã — e em padrões de segmentação. O BatShadow já visou profissionais de marketing digital anteriormente e se sobrepõe a outros grupos vietnamitas com motivação financeira, conhecidos por implantar ladrões que sequestram ativos do Facebook Business. O grupo parece estar ativo há pelo menos um ano e já utilizou domínios como samsung-work.com para distribuir famílias de malware, incluindo Agent Tesla, Lumma Stealer, Venom RAT e, em outubro de 2024, campanhas que distribuíam Quasar RAT por meio de arquivos de descrição de cargo com armadilhas semelhantes.

Por que o ataque é eficaz?

O BatShadow combina iscas relevantes para o setor (anúncios de emprego de marketing), truques com nomes de arquivos, payloads encenados (para evitar a varredura simples de arquivos) e um fluxo que força uma ação manual do navegador a contornar proteções de redirecionamento com script. Essa combinação de engenharia social e etapas técnicas em várias etapas aumenta as chances de comprometimento bem-sucedido e acesso a longo prazo.

Conclusão

A campanha da BatShadow destaca a eficácia da engenharia social direcionada quando aliada a uma cadeia técnica evasiva e em etapas. Organizações que recrutam com frequência ou lidam com tráfego de candidatos — e profissionais de marketing digital que gerenciam ativos online — devem reforçar o tratamento de e-mails/anexos, aplicar controles de execução rigorosos e tratar anexos de recrutamento como de alto risco até que sejam validados.

Tendendo

German Federal Criminal Police Ransomware (BKA)...

Segurança do Computador
Ultimamente, as ameaças de ransomware cresceram em abundância, aproveitando uma infinidade de falsas alegações, desde as autoridades policiais locais que detectam a distribuição de software ilegal até a exibição de pornografia infantil. Mais recentemente, notificamos uma ameaça específica de ransomware, apelidada de BKA da Polícia Criminal Federal da Alemanha (BKA), que teve casos em que na...

Mais visto

Carregando...