Rabattoffert för flera licenser
Hotdatabas Advanced Persistent Threat (APT) Vampire Bot Malware

Vampire Bot Malware

Med Mezo år Advanced Persistent Threat (APT), Skadlig programvara
Översätt till:

En vietnamesisktalande hotaktör som spåras som BatShadow driver en riktad kampanj som lockar arbetssökande och digitala marknadsföringsexperter att installera en tidigare odokumenterad Go-baserad skadlig kod som forskarna kallar Vampire Bot. Gruppen utger sig för att vara rekryterare och distribuerar till synes legitima arbetsbeskrivningar och företags-PDF:er som, när de interageras med, utlöser en flerstegsinfektionskedja och levererar fjärrövervakning och datastöldfunktioner.

Social ingenjörskonst och leverans av lockbete

Angriparna skapar rekryteringsliknande meddelanden och ZIP-bilagor som innehåller PDF-filer med lockbete tillsammans med skadliga genvägar (LNK) eller körbara filer förklädda som PDF-filer. Dokumentlockbetena är specifikt riktade mot marknadsföringsroller (ett lockbete refererade till ett marknadsföringsjobb på Marriott) för att öka trovärdigheten hos de avsedda offren. Offren uppmuntras att "förhandsgranska" eller ladda ner arbetsbeskrivningen, vilket startar den flerstegsbaserade utnyttjandesekvensen.

Infektionskedjans progression

ZIP-paketen innehåller en skadlig LNK som kör ett inbäddat PowerShell-skript. Skriptet kontaktar en extern server för att hämta en lure-PDF och ett separat ZIP-paket som innehåller filer relaterade till XtraViewer (programvara för fjärrskrivbord). XtraViewer-komponenterna körs – troligen för att etablera persistens eller fjärråtkomst – och kedjan fortsätter tills den körbara Go-filen distribueras.

Missbruk av Edge-omdirigeringar

Ett viktigt knep i kampanjen är en landningssida som visar ett falskt felmeddelande om att "webbläsare som inte stöds" och instruerar offren att kopiera URL:en och öppna den i Microsoft Edge. Skriptbaserade omdirigeringar blockeras ofta av moderna webbläsare, så angriparna förlitar sig på att övertyga användaren att utföra en manuell åtgärd (kopiera/klistra in i Edge), som sedan behandlas som användarinitierad och låter nedladdningsflödet fortsätta. När sidan öppnas i Edge visar den ytterligare ett falskt felmeddelande som påstår att PDF-filen komprimerades och "skickades till din enhet", vilket utlöser en automatisk ZIP-nedladdning.

Namnge trick för nyttolast och lockbeten

Den automatiskt nedladdade ZIP-filen innehåller den påstådda arbetsbeskrivningen och en skadlig körbar fil som är namngiven för att se ut som en PDF (till exempel 'Marriott_Marketing_Job_Description.pdf.exe'). Den körbara filen använder utfyllnad i filnamnet (extra mellanslag mellan '.pdf' och '.exe') så den ser ut som en PDF i vissa vyer, vilket ökar sannolikheten för att offren kör den.

Förmågor hos vampyrbotten

Den borttagna körbara filen är en Golang-binärfil med namnet Vampire Bot. Dess observerade funktioner inkluderar:

  • uppräkning och profilering av den infekterade värden,
  • stjäla en bred uppsättning data (autentiseringsuppgifter, filer etc.),
  • ta skärmdumpar enligt ett konfigurerbart schema,
    och
  • upprätthålla kommando- och kontrollkommunikation med en angripande server (rapporterad som api3.samsungcareers.work) för att ta emot kommandon eller ladda ner ytterligare nyttolaster.

Attribuering och infrastruktur

Analytiker kopplar denna aktivitet till Vietnam baserat på återanvändning av infrastruktur – till exempel en IP-adress (103.124.95.161) som tidigare var associerad med Vietnam-kopplade operatörer – och på inriktningsmönster. BatShadow har riktat in sig på digitala marknadsföringsproffs tidigare och överlappar med andra ekonomiskt motiverade vietnamesiska grupper som är kända för att använda stölder som kapar Facebook Business-tillgångar. Gruppen verkar ha varit aktiv i minst ett år och har tidigare använt domäner som samsung-work.com för att distribuera skadlig kodfamiljer inklusive Agent Tesla, Lumma Stealer, Venom RAT, och, i oktober 2024, kampanjer som distribuerar Quasar RAT via liknande förfalskade jobbbeskrivningsfiler.

Varför är attacken effektiv?

BatShadow kombinerar branschrelevanta lockbete (marknadsföringsannonser), filnamnsknep, stegvisa nyttolaster (för att undvika enkel filskanning) och ett flöde som tvingar en manuell webbläsaråtgärd att kringgå skriptade omdirigeringsskydd. Den blandningen av social ingenjörskonst och tekniska steg i flera steg ökar chanserna för lyckad intrång och långsiktig åtkomst.

Slutsats

BatShadows kampanj understryker hur effektiv riktad social ingenjörskonst är när den kombineras med en stegvis, undvikande teknisk kedja. Organisationer som rekryterar ofta eller hanterar sökandetrafik – och yrkesverksamma inom digital marknadsföring som hanterar online-tillgångar – bör skärpa hanteringen av e-post/bilagor, tillämpa strikta exekveringskontroller och behandla rekryteringsliknande bilagor som högrisk tills de valideras.

Trendigt

Mest sedda

Läser in...