Злонамерни софтвер Vampire Bot
Вијетнамски говорник, праћен као BatShadow, води циљану кампању која мами тражиоце посла и стручњаке за дигитални маркетинг да инсталирају раније недокументовани злонамерни софтвер базиран на Go-у, који истраживачи називају Vampire Bot. Група се представља као регрутери и дистрибуира наизглед легитимне описе послова и корпоративне PDF-ове који, када се са њима интерагира, покрећу вишестепени ланац инфекције и пружају могућности даљинског надзора и крађе података.
Преглед садржаја
Социјални инжењеринг и испорука мамаца
Нападачи креирају поруке у стилу регрутовања и ZIP прилоге који садрже PDF датотеке-лажне датотеке заједно са злонамерним пречицама (LNK) или извршним датотекама прикривеним као PDF-ови. Документи-мамци су посебно усмерени на маркетиншке позиције (један мамац се односио на посао у маркетингу компаније Marriott) како би се повећао кредибилитет код циљаних жртава. Жртве се подстичу да „прегледају“ или преузму опис посла, што покреће вишестепени низ експлоатације.
Прогресија ланца инфекције
ZIP пакети укључују злонамерни LNK који покреће уграђени PowerShell скрипт. Тај скрипт контактира екстерни сервер да би преузео PDF фајл и посебан ZIP пакет који садржи датотеке које се односе на XtraViewer (софтвер за удаљену радну површину). XtraViewer компоненте се извршавају — вероватно да би се успоставила перзистентност или удаљени приступ — и ланац се наставља све док се не инсталира Go извршна датотека.
Злоупотреба преусмеравања на предности
Кључни трик у кампањи је почетна страница која приказује лажну грешку „неподржани прегледач“ и налаже жртвама да копирају УРЛ адресу и отворе је у програму Microsoft Edge. Скриптована преусмеравања често блокирају модерни прегледачи, па се нападачи ослањају на убеђивање корисника да изврши ручну радњу (копирање/лепљење у Edge), што се затим третира као иницирано од стране корисника и омогућава наставак тока преузимања. Након отварања у програму Edge, страница приказује још једну лажну грешку у којој се тврди да је ПДФ компресован и „послат на ваш уређај“, што покреће аутоматско преузимање ZIP датотеке.
Трик са именовањем корисног терета и мамца
Аутоматски преузета ZIP датотека садржи наводни опис посла и злонамерну извршну датотеку названу тако да изгледа као PDF (на пример, „Marriott_Marketing_Job_Description.pdf.exe“). Извршна датотека користи размак између имена датотеке (додатни размаци између „.pdf“ и „.exe“) тако да у неким приказима изгледа као PDF, што повећава вероватноћу да ће је жртве покренути.
Могућности Вампирског Бота
Избачена извршна датотека је бинарна датотека Golang-а названа Vampire Bot. Њене уочене могућности укључују:
- набрајање и профилисање зараженог домаћина,
- крађа широког скупа података (складишта акредитива, датотеке итд.),
- прављење снимака екрана по подесивом распореду,
и
- одржавање комуникације командовања и контроле са сервером нападача (пријављеним као api3.samsungcareers.work) ради примања команди или преузимања додатних корисних садржаја.
Атрибуција и инфраструктура
Аналитичари повезују ову активност са Вијетнамом на основу поновне употребе инфраструктуре — на пример, ИП адресе (103.124.95.161) која је раније била повезана са оператерима повезаним са Вијетнамом — и на основу образаца циљања. BatShadow је раније циљао стручњаке за дигитални маркетинг и преклапа се са другим финансијски мотивисаним вијетнамским групама за које се зна да користе крадљивце који отимају средства Фејсбук бизниса. Чини се да је група активна најмање годину дана и раније је користила домене као што је samsung-work.com за дистрибуцију породица злонамерног софтвера, укључујући Agent Tesla, Lumma Stealer, Venom RAT, а у октобру 2024. године, кампање дистрибуције Quasar RAT путем слично замамљених датотека са описом посла.
Зашто је напад ефикасан?
BatShadow комбинује мамце релевантне за индустрију (маркетиншке огласе за посао), трикове са именима датотека, постепено подешене корисне податке (да би се избегло једноставно скенирање датотека) и ток који приморава ручну акцију прегледача да заобиђе скриптоване заштите преусмеравања. Та комбинација социјалног инжењеринга и вишестепених техничких корака повећава шансе за успешно компромитовање и дугорочни приступ.
Закључак
Кампања компаније BatShadow истиче колико је ефикасан циљани друштвени инжењеринг када се упари са фазираним, избегавајућим техничким ланцем. Организације које често регрутују или обрађују промет кандидата – и стручњаци у дигиталном маркетингу који управљају онлајн средствима – требало би да пооштре руковање поштом/прилозима, примене строге контроле извршења и третирају прилоге у стилу регрутовања као високоризичне док се не потврде.
