Multilicenčná zľavová ponuka
Databáza hrozieb Pokročilá perzistentná hrozba (APT) Škodlivý softvér Vampire Bot

Škodlivý softvér Vampire Bot

Do roku Mezo v roku Pokročilá perzistentná hrozba (APT), Malvér
Preložiť do:

Vietnamsky hovoriaci aktér hrozby sledovaný ako BatShadow prevádzkuje cielenú kampaň, ktorá láka uchádzačov o zamestnanie a profesionálov v oblasti digitálneho marketingu k inštalácii doteraz nezdokumentovaného malvéru založeného na jazyku Go, ktorý výskumníci nazývajú Vampire Bot. Skupina sa vydáva za náborárov a distribuuje zdanlivo legitímne popisy pracovných miest a firemné PDF súbory, ktoré pri interakcii spustia viacstupňový infekčný reťazec a poskytujú možnosti diaľkového sledovania a krádeže údajov.

Sociálne inžinierstvo a doručovanie lákadiel

Útočníci vytvárajú správy a ZIP prílohy v štýle náboru, ktoré obsahujú návnadové PDF súbory spolu so škodlivými skratkami (LNK) alebo spustiteľnými súbormi maskovanými ako PDF. Tieto návnady na dokumenty sú špecificky zamerané na marketingové pozície (jedna návnada odkazovala na marketingovú prácu v spoločnosti Marriott), aby sa zvýšila dôveryhodnosť u zamýšľaných obetí. Obete sú povzbudzované, aby si „prezreli“ alebo stiahli popis práce, čím sa spustí viacstupňová sekvencia zneužívania.

Progresia infekčného reťazca

ZIP balíčky obsahujú škodlivý LNK, ktorý spúšťa vložený PowerShell skript. Tento skript kontaktuje externý server, aby načítal lákavý PDF súbor a samostatný ZIP balík, ktorý obsahuje súbory súvisiace s XtraViewerom (softvér na vzdialenú plochu). Komponenty XtraViewer sa spustia – pravdepodobne za účelom nadviazania trvalého prístupu alebo vzdialeného prístupu – a reťazec pokračuje, kým sa nenasadí spustiteľný súbor Go.

Zneužívanie presmerovaní na okraji

Kľúčovým trikom kampane je vstupná stránka, ktorá zobrazuje falošnú chybu „nepodporovaný prehliadač“ a dáva obetiam pokyn, aby skopírovali URL adresu a otvorili ju v prehliadači Microsoft Edge. Skriptované presmerovania sú často blokované modernými prehliadačmi, takže útočníci sa spoliehajú na to, že presvedčia používateľa, aby vykonal manuálnu akciu (kopírovanie/vloženie do prehliadača Edge), ktorá sa potom považuje za akciu iniciovanú používateľom a umožňuje pokračovanie sťahovania. Po otvorení v prehliadači Edge sa na stránke zobrazí ďalšia falošná chyba, ktorá tvrdí, že súbor PDF bol komprimovaný a „odoslaný do vášho zariadenia“, čo spustí automatické sťahovanie súboru ZIP.

Trik s pomenovaním užitočného zaťaženia a návnady

Automaticky stiahnutý ZIP súbor obsahuje údajný popis pracovnej pozície a škodlivý spustiteľný súbor s názvom, ktorý vyzerá ako PDF (napríklad „Marriott_Marketing_Job_Description.pdf.exe“). Spustiteľný súbor používa odsadenie názvu súboru (medzery medzi „.pdf“ a „.exe“), takže v niektorých zobrazeniach vyzerá ako PDF, čo zvyšuje pravdepodobnosť, že ho obete spustia.

Schopnosti upírskeho bota

Stiahnutý spustiteľný súbor je binárny súbor Golang s názvom Vampire Bot. Medzi jeho pozorované schopnosti patria:

  • vymenovanie a profilovanie infikovaného hostiteľa,
  • krádež širokej škály údajov (úložiská poverení, súbory atď.),
  • vytváranie snímok obrazovky podľa konfigurovateľného plánu,
    a
  • udržiavanie komunikácie typu velenie a riadenie s útočným serverom (nahláseným ako api3.samsungcareers.work) s cieľom prijímať príkazy alebo sťahovať ďalšie užitočné zaťaženia.

Atribúcia a infraštruktúra

Analytici spájajú túto aktivitu s Vietnamom na základe opätovného použitia infraštruktúry – napríklad IP adresy (103.124.95.161), ktorá bola predtým spájaná s operátormi prepojenými s Vietnamom – a na základe vzorcov zacielenia. BatShadow sa už predtým zameriaval na profesionálov v oblasti digitálneho marketingu a prekrýva sa s inými finančne motivovanými vietnamskými skupinami, o ktorých je známe, že nasadzujú programy na ukradnutie škodlivého softvéru, ktoré unášajú aktíva spoločnosti Facebook Business. Zdá sa, že skupina je aktívna najmenej rok a predtým používala domény ako samsung-work.com na distribúciu skupín škodlivého softvéru vrátane Agent Tesla, Lumma Stealer, Venom RAT a v októbri 2024 kampane šírili Quasar RAT prostredníctvom podobne nastražených súborov s popisom práce.

Prečo je útok účinný?

BatShadow kombinuje návnady relevantné pre dané odvetvie (marketingové pracovné ponuky), triky s názvami súborov, fázované užitočné zaťaženie (na obídenie jednoduchého skenovania súborov) a postup, ktorý vynúti manuálnu akciu prehliadača na obídenie ochrany presmerovania skriptmi. Táto kombinácia sociálneho inžinierstva a viacstupňových technických krokov zvyšuje šance na úspešné narušenie a dlhodobý prístup.

Záver

Kampaň BatShadow zdôrazňuje, aké efektívne je cielené sociálne inžinierstvo v spojení s postupným a vyhýbavým technickým reťazcom. Organizácie, ktoré často prijímajú zamestnancov alebo spracovávajú dáta od uchádzačov – a profesionáli v oblasti digitálneho marketingu, ktorí spravujú online aktíva – by mali sprísniť manipuláciu s poštou/prílohami, uplatňovať prísne kontroly vykonávania a považovať prílohy v štýle náboru za vysoko rizikové, kým nie sú overené.

Trendy

Verzia vašej poštovej schránky bude ukončená – podvod

Phishing, Spam
Online podvodníci neustále vyvíjajú nové triky, ako oklamať používateľov a ukradnúť cenné údaje. Jedným z takýchto príkladov je podvod „Verzia vašej poštovej schránky bude zrušená“, čo je phishingová kampaň navrhnutá tak, aby získala prihlasovacie údaje od nič netušiacich obetí. Odborníci na kybernetickú bezpečnosť varujú, že tieto podvodné správy nie sú spojené so žiadnymi legitímnymi...

Najviac videné

Načítava...