Вредоносное ПО Vampire Bot
Вьетнамоговорящий хакер, известный как BatShadow, проводит целевую кампанию, побуждая соискателей и специалистов по цифровому маркетингу устанавливать ранее недокументированное вредоносное ПО на базе Go, которое исследователи называют Vampire Bot. Группа выдаёт себя за рекрутеров и распространяет якобы легитимные описания вакансий и корпоративные PDF-файлы, которые при взаимодействии с ними запускают многоступенчатую цепочку заражения и предоставляют возможности для удалённого наблюдения и кражи данных.
Оглавление
Социальная инженерия и доставка приманок
Злоумышленники создают сообщения в стиле рекрутинга и ZIP-вложения, содержащие поддельные PDF-файлы вместе с вредоносными ярлыками (LNK) или исполняемыми файлами, замаскированными под PDF-файлы. Эти документы-приманки специально предназначены для маркетинговых вакансий (одна из них ссылалась на вакансию в маркетинговом отделе Marriott), чтобы повысить доверие потенциальных жертв. Жертвам предлагается «предварительно просмотреть» или скачать описание вакансии, что запускает многоэтапную последовательность эксплуатации.
Прогрессирование цепочки инфекций
ZIP-архивы содержат вредоносный LNK-файл, запускающий встроенный скрипт PowerShell. Этот скрипт обращается к внешнему серверу для загрузки PDF-файла-приманки и отдельного ZIP-архива, содержащего файлы, относящиеся к XtraViewer (программному обеспечению для удалённого рабочего стола). Компоненты XtraViewer запускаются, вероятно, для обеспечения персистентности или удалённого доступа, и цепочка продолжается до тех пор, пока не будет развёрнут исполняемый файл Go.
Злоупотребление перенаправлениями Edge
Ключевой трюк кампании — целевая страница, на которой отображается поддельная ошибка «браузер не поддерживается» и предлагается жертвам скопировать URL-адрес и открыть его в Microsoft Edge. Современные браузеры часто блокируют перенаправления по скриптам, поэтому злоумышленники рассчитывают убедить пользователя выполнить ручное действие (скопировать/вставить в Edge), которое затем воспринимается как инициированное пользователем и позволяет продолжить загрузку. После открытия в Edge страница показывает ещё одну поддельную ошибку, утверждающую, что PDF-файл был сжат и «отправлен на ваше устройство», что запускает автоматическую загрузку ZIP-файла.
Хитрость с наименованиями полезной нагрузки и ложных целей
Автоматически загружаемый ZIP-архив содержит предполагаемое описание вакансии и вредоносный исполняемый файл, имя которого напоминает PDF-файл (например, «Marriott_Marketing_Job_Description.pdf.exe»). Исполняемый файл использует дополнения в имени файла (дополнительные пробелы между «.pdf» и «.exe»), поэтому в некоторых представлениях он выглядит как PDF-файл, что повышает вероятность того, что жертвы его запустят.
Возможности Вампир-бота
Удаленный исполняемый файл представляет собой исполняемый файл Golang, получивший название Vampire Bot. Его наблюдаемые возможности включают:
- подсчет и профилирование зараженного хоста,
- кража широкого набора данных (хранилищ учетных данных, файлов и т. д.),
- создание снимков экрана по настраиваемому расписанию,
и
- поддержание связи по командному управлению с сервером атакующего (сообщается как api3.samsungcareers.work) для получения команд или загрузки дополнительных полезных данных.
Атрибуция и инфраструктура
Аналитики связывают эту активность с Вьетнамом, основываясь на повторном использовании инфраструктуры — например, IP-адреса (103.124.95.161), ранее ассоциированного с вьетнамскими операторами, — и на особенностях таргетинга. BatShadow ранее атаковала специалистов по цифровому маркетингу и пересекается с другими финансово мотивированными вьетнамскими группами, известными тем, что используют стиллеры, похищающие активы Facebook Business. Группа, по всей видимости, действует уже не менее года и ранее использовала такие домены, как samsung-work.com, для распространения семейств вредоносных программ, включая Agent Tesla, Lumma Stealer, Venom RAT, а в октябре 2024 года — кампании по распространению Quasar RAT через аналогичные файлы с описанием вакансий, содержавшие ловушки.
Почему атака эффективна?
BatShadow сочетает в себе отраслевые приманки (рекламные объявления о вакансиях), трюки с именами файлов, промежуточные полезные нагрузки (для обхода простого сканирования файлов) и алгоритм, который заставляет браузер выполнить ручное действие для обхода защиты от перенаправлений, запрограммированных скриптами. Такое сочетание социальной инженерии и многоэтапных технических действий увеличивает шансы на успешную компрометацию и долгосрочный доступ.
Заключение
Кампания BatShadow подчёркивает эффективность целенаправленной социальной инженерии в сочетании с поэтапной, уклончивой технической цепочкой. Организациям, которые часто набирают сотрудников или обрабатывают поток кандидатов, а также специалистам по цифровому маркетингу, управляющим онлайн-ресурсами, следует ужесточить обработку писем и вложений, применять строгий контроль исполнения и рассматривать вложения, связанные с вербовкой, как высокорисковые до тех пор, пока они не будут проверены.
