Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Amenințare persistentă avansată (APT) Vampire Bot Malware

Vampire Bot Malware

Până în Mezo în Amenințare persistentă avansată (APT), Programe malware
Tradu in:

Un actor de amenințare vorbitor de vietnameză, urmărit drept BatShadow, derulează o campanie țintită care atrage persoanele aflate în căutarea unui loc de muncă și profesioniștii în marketing digital să instaleze un malware bazat pe Go, nedocumentat anterior, pe care cercetătorii îl numesc Vampire Bot. Grupul se dă drept recrutori și distribuie fișe de post aparent legitime și PDF-uri corporative care, atunci când interacționează cu ele, declanșează un lanț de infectare în mai multe etape și oferă capabilități de supraveghere de la distanță și furt de date.

Inginerie socială și livrare de momeli

Atacatorii creează mesaje de tip recrutare și atașamente ZIP care conțin fișiere PDF capcană, alături de comenzi rapide malițioase (LNK) sau fișiere executabile deghizate în PDF-uri. Capcanele de documente sunt destinate în mod specific rolurilor de marketing (o capcană făcea referire la un job de marketing la Marriott) pentru a crește credibilitatea în fața victimelor vizate. Victimele sunt încurajate să „previzualizeze” sau să descarce fișa postului, ceea ce declanșează secvența de exploatare în mai multe etape.

Progresia lanțului de infecție

Pachetele ZIP includ un LNK malițios care rulează un script PowerShell încorporat. Scriptul respectiv contactează un server extern pentru a prelua un PDF lure și un pachet ZIP separat care conține fișiere legate de XtraViewer (software pentru desktop la distanță). Componentele XtraViewer sunt executate — probabil pentru a stabili persistența sau accesul la distanță — iar lanțul continuă până când executabilul Go este implementat.

Abuzarea redirecționărilor de margine

Un truc cheie în cadrul campaniei este o pagină de destinație care afișează o eroare falsă de tip „browser neacceptat” și instruiește victimele să copieze adresa URL și să o deschidă în Microsoft Edge. Redirecționările scriptate sunt adesea blocate de browserele moderne, așa că atacatorii se bazează pe convingerea utilizatorului să efectueze o acțiune manuală (copiere/lipire în Edge), care este apoi tratată ca inițiată de utilizator și permite continuarea fluxului de descărcare. Odată deschisă în Edge, pagina afișează o altă eroare falsă care susține că PDF-ul a fost comprimat și „trimis pe dispozitivul dvs.”, ceea ce declanșează o descărcare automată ZIP.

Truc de denumire a sarcinii utile și a momelii

Fișierul ZIP descărcat automat conține presupusa descriere a postului și un executabil malițios denumit să arate ca un PDF (de exemplu, „Marriott_Marketing_Job_Description.pdf.exe”). Executabilul folosește spații suplimentare între „.pdf” și „.exe”), astfel încât arată ca un PDF în unele vizualizări, crescând probabilitatea ca victimele să îl ruleze.

Capacitățile unui robot vampir

Executabilul descărcat este un fișier binar Golang numit Vampire Bot. Capacitățile sale observate includ:

  • enumerarea și profilarea gazdei infectate,
  • furtul unui set larg de date (depozite de acreditări, fișiere etc.),
  • realizarea de capturi de ecran conform unui program configurabil,
    şi
  • menținerea comunicării de comandă și control cu un server atacator (raportat ca api3.samsungcareers.work) pentru a primi comenzi sau a descărca sarcini suplimentare.

Atribuire și infrastructură

Analiștii leagă această activitate de Vietnam pe baza reutilizării infrastructurii - de exemplu, o adresă IP (103.124.95.161) asociată anterior cu operatori legați de Vietnam - și pe baza modelelor de direcționare. BatShadow a vizat anterior profesioniști din domeniul marketingului digital și se suprapune cu alte grupuri vietnameze motivate financiar, cunoscute pentru utilizarea de programe malware care deturnează activele Facebook Business. Grupul pare să fi fost activ de cel puțin un an și a folosit anterior domenii precum samsung-work.com pentru a distribui familii de programe malware, inclusiv Agent Tesla, Lumma Stealer, Venom RAT și, în octombrie 2024, campanii care distribuiau Quasar RAT prin intermediul unor fișiere cu fișe de post similare, pline de capcane.

De ce este eficient atacul?

BatShadow combină momeli relevante pentru industrie (anunțuri de locuri de muncă în marketing), trucuri pentru numele fișierelor, sarcini utile în etape (pentru a evita scanarea simplă a fișierelor) și un flux care forțează o acțiune manuală a browserului pentru a ocoli protecțiile de redirecționare scriptate. Această combinație de inginerie socială și pași tehnici în mai multe etape crește șansele de compromitere cu succes și acces pe termen lung.

Concluzie

Campania BatShadow subliniază cât de eficientă este ingineria socială direcționată atunci când este asociată cu un lanț tehnic etapizat și evaziv. Organizațiile care recrutează frecvent sau gestionează traficul de candidați - și profesioniștii în marketing digital care gestionează resurse online - ar trebui să înăsprească gestionarea e-mailurilor/atașamentelor, să aplice controale stricte de execuție și să trateze atașamentele de tip recrutare ca fiind cu risc ridicat până la validare.

Trending

Versiunea căsuței dvs. poștale va fi întreruptă -...

phishing, Spam
Escrocii online dezvoltă în mod constant noi trucuri pentru a înșela utilizatorii și a fura date valoroase. Un astfel de exemplu este înșelătoria „Versiunea căsuței poștale va fi întreruptă”, o campanie de phishing concepută pentru a colecta datele de autentificare de la victime neașteptate. Experții în securitate cibernetică avertizează că aceste mesaje frauduloase nu sunt asociate cu nicio...

Cele mai văzute

Se încarcă...