Popust za več licenc
Podjetje o grožnjah Napredna trajna grožnja (APT) Zlonamerna programska oprema Vampire Bot

Zlonamerna programska oprema Vampire Bot

Do leta Mezo leta Napredna trajna grožnja (APT), Zlonamerna programska oprema
Prevedi v:

Vietnamsko govoreči akter, ki ga sledijo kot BatShadow, izvaja ciljno usmerjeno kampanjo, s katero vabi iskalce zaposlitve in strokovnjake za digitalni marketing k namestitvi prej nedokumentirane zlonamerne programske opreme na osnovi Go, ki jo raziskovalci imenujejo Vampire Bot. Skupina se izdaja za delodajalce in distribuira na videz legitimne opise delovnih mest ter poslovne PDF-je, ki ob interakciji sprožajo večstopenjsko verigo okužb in omogočajo oddaljeni nadzor ter krajo podatkov.

Socialni inženiring in dostava vab

Napadalci ustvarjajo sporočila in priloge ZIP v slogu novačenja, ki vsebujejo vabljive datoteke PDF skupaj z zlonamernimi bližnjicami (LNK) ali izvedljivimi datotekami, prikritimi kot PDF-ji. Vabe v dokumente so posebej namenjene marketinškim delovnim mestom (ena vab se je sklicevala na marketinško delovno mesto v podjetju Marriott), da bi povečale verodostojnost pri predvidenih žrtvah. Žrtve se spodbuja, da si »predogledajo« ali prenesejo opis delovnega mesta, kar sproži večstopenjsko zaporedje izkoriščanja.

Napredovanje okužbne verige

Paketi ZIP vsebujejo zlonamerni LNK, ki izvaja vgrajen skript PowerShell. Ta skript se poveže z zunanjim strežnikom, da pridobi vabljivi PDF in ločen paket ZIP, ki vsebuje datoteke, povezane z XtraViewerjem (programska oprema za oddaljeno namizje). Komponente XtraViewerja se izvedejo – verjetno za vzpostavitev trajnosti ali oddaljenega dostopa – in veriga se nadaljuje, dokler ni nameščena izvedljiva datoteka Go.

Zloraba preusmeritev na robu

Ključni trik v kampanji je ciljna stran, ki prikazuje lažno napako »nepodprt brskalnik« in žrtvam naroči, naj kopirajo URL in ga odprejo v brskalniku Microsoft Edge. Sodobni brskalniki pogosto blokirajo skriptne preusmeritve, zato se napadalci zanašajo na to, da uporabnika prepričajo, naj izvede ročno dejanje (kopiraj/prilepi v Edge), ki se nato obravnava kot dejanje, ki ga sproži uporabnik, in omogoči nadaljevanje prenosa. Ko je stran odprta v brskalniku Edge, se na njej prikaže še ena lažna napaka, ki trdi, da je bil PDF stisnjen in »poslan v vašo napravo«, kar sproži samodejni prenos ZIP datoteke.

Trik s poimenovanjem koristnega tovora in vabe

Samodejno prenesena datoteka ZIP vsebuje domnevni opis delovnega mesta in zlonamerno izvedljivo datoteko z imenom, ki je videti kot PDF (na primer »Marriott_Marketing_Job_Description.pdf.exe«). Izvedljiva datoteka uporablja zapolnitev imen datotek (dodatni presledki med ».pdf« in ».exe«), zato je v nekaterih pogledih videti kot PDF, kar poveča verjetnost, da jo bodo žrtve zagnale.

Zmogljivosti vampirskega bota

Odstranjena izvedljiva datoteka je binarna datoteka Golang, imenovana Vampire Bot. Njene opažene zmogljivosti vključujejo:

  • naštevanje in profiliranje okuženega gostitelja,
  • krajo širokega nabora podatkov (shramb poverilnic, datotek itd.),
  • snemanje posnetkov zaslona po nastavljivem urniku,
    in
  • vzdrževanje komunikacije ukazov in nadzora s strežnikom napadalca (poročeno kot api3.samsungcareers.work) za prejemanje ukazov ali prenos dodatnih koristnih podatkov.

Pripisovanje in infrastruktura

Analitiki to dejavnost povezujejo z Vietnamom na podlagi ponovne uporabe infrastrukture – na primer naslova IP (103.124.95.161), ki je bil prej povezan z operaterji, povezanimi z Vietnamom – in na podlagi vzorcev ciljanja. BatShadow je že prej ciljal na strokovnjake za digitalni marketing in se prekriva z drugimi finančno motiviranimi vietnamskimi skupinami, za katere je znano, da uporabljajo kradljivce, ki ugrabljajo sredstva Facebook Business. Zdi se, da je skupina aktivna vsaj eno leto in je že prej uporabljala domene, kot je samsung-work.com, za distribucijo družin zlonamerne programske opreme, vključno z Agent Tesla, Lumma Stealer, Venom RAT, oktobra 2024 pa je začela s kampanjami distribucije Quasar RAT prek podobno miniranih datotek z opisi delovnih mest.

Zakaj je napad učinkovit?

BatShadow združuje vabe, pomembne za industrijo (oglasi za zaposlitev v trženju), trike z imeni datotek, postopne koristne obremenitve (za izogibanje preprostemu skeniranju datotek) in tok, ki prisili ročno dejanje brskalnika, da zaobide skriptne zaščite preusmeritev. Ta kombinacija socialnega inženiringa in večstopenjskih tehničnih korakov povečuje možnosti za uspešno ogrožanje in dolgoročen dostop.

Zaključek

Kampanja BatShadow poudarja, kako učinkovit je ciljno usmerjen socialni inženiring v kombinaciji s postopno, izmikajočo se tehnično verigo. Organizacije, ki pogosto zaposlujejo ali upravljajo s prometom kandidatov – in strokovnjaki za digitalni marketing, ki upravljajo spletna sredstva – bi morali poostriti ravnanje s pošto/prilogami, uporabljati stroge kontrole izvajanja in obravnavati priloge v slogu zaposlovanja kot visoko tvegane, dokler niso potrjene.

V trendu

Različica vašega poštnega nabiralnika bo ukinjena -...

Lažno predstavljanje, Neželena pošta
Spletni prevaranti nenehno razvijajo nove trike, s katerimi zavajajo uporabnike in kradejo dragocene podatke. Eden takšnih primerov je prevara »Verzija vašega nabiralnika bo ukinjena«, phishing kampanja, namenjena pridobivanju prijavnih podatkov nič hudega slutečih žrtev. Strokovnjaki za kibernetsko varnost opozarjajo, da ta goljufiva sporočila niso povezana z nobenim legitimnim podjetjem,...

Najbolj gledan

Nalaganje...