Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Kërcënimi i avancuar i vazhdueshëm (APT) Vampire Bot Malware

Vampire Bot Malware

Nga MezoKërcënimi i avancuar i vazhdueshëm (APT), Malware
Përkthe në:

Një aktor kërcënimi që flet gjuhën vietnameze, i ndjekur si BatShadow, po drejton një fushatë të synuar që i josh kërkuesit e punës dhe profesionistët e marketingut dixhital që të instalojnë një program keqdashës të bazuar në Go, të padokumentuar më parë, të cilin studiuesit e quajnë Vampire Bot. Grupi imiton rekrutuesit dhe shpërndan përshkrime pune në dukje legjitime dhe PDF të korporatave, të cilat, kur ndërveprojnë me to, shkaktojnë një zinxhir infeksioni shumëfazësh dhe ofrojnë aftësi mbikëqyrjeje në distancë dhe vjedhjeje të të dhënave.

Inxhinieri Sociale dhe Dorëzimi i Karremave

Sulmuesit krijojnë mesazhe në stilin e rekrutimit dhe bashkëngjitje ZIP që përmbajnë skedarë PDF mashtrues së bashku me shkurtesa keqdashëse (LNK) ose skedarë ekzekutues të maskuar si PDF. Karremat e dokumenteve synojnë posaçërisht rolet e marketingut (një karremë i referohej një pune marketingu në Marriott) për të rritur besueshmërinë me viktimat e synuara. Viktimat inkurajohen të 'shikojnë paraprakisht' ose të shkarkojnë përshkrimin e punës, i cili fillon sekuencën e shfrytëzimit me shumë faza.

Përparimi i Zinxhirit të Infeksionit

Paketat ZIP përfshijnë një LNK keqdashëse që ekzekuton një skript të integruar PowerShell. Ky skript kontakton një server të jashtëm për të marrë një PDF joshëse dhe një pako të veçantë ZIP që përmban skedarë që lidhen me XtraViewer (softuer për desktop të largët). Komponentët XtraViewer ekzekutohen - ka të ngjarë të krijojnë qëndrueshmëri ose akses të largët - dhe zinxhiri vazhdon derisa të vendoset skedari ekzekutues Go.

Abuzimi i Ridrejtimeve të Edge

Një truk kyç në fushatë është një faqe hyrëse që tregon një gabim të rremë 'shfletues i pambështetur' dhe u udhëzon viktimave të kopjojnë URL-në dhe ta hapin atë në Microsoft Edge. Ridrejtimet e skriptuara shpesh bllokohen nga shfletuesit modernë, kështu që sulmuesit mbështeten në bindjen e përdoruesit për të kryer një veprim manual (kopjo/ngjit në Edge), i cili më pas trajtohet si i iniciuar nga përdoruesi dhe lejon që rrjedha e shkarkimit të vazhdojë. Pasi të hapet në Edge, faqja tregon një tjetër gabim të rremë që pretendon se PDF-ja është kompresuar dhe 'është dërguar në pajisjen tuaj', gjë që shkakton një shkarkim automatik ZIP.

Truku i Emërtimit të Ngarkesës dhe Karremit

Skedari ZIP i shkarkuar automatikisht përmban përshkrimin e supozuar të punës dhe një skedar ekzekutues keqdashës të emëruar që të duket si një PDF (për shembull, 'Marriott_Marketing_Job_Description.pdf.exe'). Skedari ekzekutues përdor mbushje të emrit të skedarit (hapësira shtesë midis '.pdf' dhe '.exe') kështu që duket si një PDF në disa pamje, duke rritur gjasat që viktimat ta ekzekutojnë atë.

Aftësitë e robotëve vampirë

Skema ekzekutuese e hequr është një skedar binar Golang i quajtur Vampire Bot. Aftësitë e tij të vëzhguara përfshijnë:

  • numërimi dhe profilizimi i strehuesit të infektuar,
  • vjedhja e një grupi të gjerë të dhënash (depo kredencialesh, skedarë, etj.),
  • duke bërë pamje të ekranit sipas një orari të konfigurueshëm,
    dhe
  • duke ruajtur komunikimin e komandës dhe kontrollit me një server sulmues (i raportuar si api3.samsungcareers.work) për të marrë komanda ose për të shkarkuar ngarkesa shtesë.

Atribuimi dhe Infrastruktura

Analistët e lidhin këtë aktivitet me Vietnamin bazuar në ripërdorimin e infrastrukturës - për shembull, një adresë IP (103.124.95.161) e lidhur më parë me operatorë të lidhur me Vietnamin - dhe në modelet e shënjestrimit. BatShadow ka shënjestruar profesionistë të marketingut dixhital më parë dhe mbivendoset me grupe të tjera vietnameze të motivuara financiarisht, të njohura për vendosjen e hajdutëve që rrëmbejnë asetet e Facebook Business. Grupi duket se ka qenë aktiv për të paktën një vit dhe ka përdorur më parë domene të tilla si samsung-work.com për të shpërndarë familje programesh keqdashëse, duke përfshirë Agent Tesla, Lumma Stealer, Venom RAT, dhe, në tetor 2024, fushata që shpërndajnë Quasar RAT përmes skedarëve të përshkrimit të punës të ngjashëm të mbushur me kurthe.

Pse sulmi është efektiv?

BatShadow kombinon karreminj relevantë për industrinë (reklamat e punës në marketing), truket e emrave të skedarëve, ngarkesat e skanuara (për të shmangur skanimin e thjeshtë të skedarëve) dhe një rrjedhë që detyron një veprim manual të shfletuesit të anashkalojë mbrojtjet e ridrejtimit të skriptuar. Kjo përzierje e inxhinierisë sociale dhe hapave teknikë shumëfazorë rrit shanset për kompromentim të suksesshëm dhe akses afatgjatë.

Përfundim

Fushata e BatShadow nënvizon se sa efektive është inxhinieria sociale e synuar kur shoqërohet me një zinxhir teknik të organizuar dhe të pakontrollueshëm. Organizatat që rekrutojnë shpesh ose merren me trafikun e aplikantëve - dhe profesionistët në marketingun dixhital që menaxhojnë asetet online - duhet të forcojnë trajtimin e postës/bashkëngjitjeve, të zbatojnë kontrolle të rrepta ekzekutimi dhe t'i trajtojnë bashkëngjitjet në stilin e rekrutimit si me rrezik të lartë derisa të validohen.

Në trend

Versioni i Kutisë suaj Postare do të Ndërpritet -...

Fishing, Spam
Mashtruesit online zhvillojnë vazhdimisht truke të reja për të mashtruar përdoruesit dhe për të vjedhur të dhëna të vlefshme. Një shembull i tillë është mashtrimi 'Versioni i Kutisë suaj Postare do të Ndërpritet', një fushatë phishing e projektuar për të mbledhur kredencialet e hyrjes nga viktima të paparashikuara. Ekspertët e sigurisë kibernetike paralajmërojnë se këto mesazhe mashtruese nuk...

Më e shikuara

Po ngarkohet...