Vampire Bot Malware

பேட்ஷேடோவாகக் கண்காணிக்கப்படும் வியட்நாமிய மொழி பேசும் அச்சுறுத்தல் நடிகர், வேலை தேடுபவர்களையும் டிஜிட்டல் மார்க்கெட்டிங் நிபுணர்களையும், ஆராய்ச்சியாளர்கள் வாம்பயர் பாட் என்று அழைக்கும் முன்னர் ஆவணப்படுத்தப்படாத கோ-அடிப்படையிலான தீம்பொருளை நிறுவும்படி கவர்ந்திழுக்கும் ஒரு இலக்கு பிரச்சாரத்தை நடத்தி வருகிறார். இந்தக் குழு ஆட்சேர்ப்பு செய்பவர்களைப் போல ஆள்மாறாட்டம் செய்து, சட்டப்பூர்வமான வேலை விளக்கங்கள் மற்றும் பெருநிறுவன PDF களை விநியோகிக்கிறது, அவை தொடர்பு கொள்ளும்போது, பல-நிலை தொற்று சங்கிலியைத் தூண்டி, தொலைதூர கண்காணிப்பு மற்றும் தரவு-திருட்டு திறன்களை வழங்குகின்றன.

சமூக பொறியியல் மற்றும் கவர்ச்சி விநியோகம்

தாக்குதல் நடத்துபவர்கள் ஆட்சேர்ப்பு பாணி செய்திகள் மற்றும் ZIP இணைப்புகளை உருவாக்குகிறார்கள், அவை தீங்கிழைக்கும் குறுக்குவழிகள் (LNK) அல்லது PDFகளாக மாறுவேடமிட்ட செயல்படுத்தக்கூடியவைகளுடன் கூடிய ஏமாற்று PDF கோப்புகளைக் கொண்டுள்ளன. ஆவண கவர்ச்சிகள் குறிப்பாக சந்தைப்படுத்தல் பாத்திரங்களை (ஒரு கவர்ச்சி Marriott மார்க்கெட்டிங் வேலையைக் குறிக்கிறது) இலக்காகக் கொண்டுள்ளன, இது நோக்கம் கொண்ட பாதிக்கப்பட்டவர்களுடன் நம்பகத்தன்மையை அதிகரிக்கிறது. பாதிக்கப்பட்டவர்கள் பல கட்ட சுரண்டல் வரிசையைத் தொடங்கும் வேலை விளக்கத்தை 'முன்னோட்டம்' செய்ய அல்லது பதிவிறக்க ஊக்குவிக்கப்படுகிறார்கள்.

தொற்று சங்கிலி முன்னேற்றம்

ZIP தொகுப்புகளில் உட்பொதிக்கப்பட்ட PowerShell ஸ்கிரிப்டை இயக்கும் ஒரு தீங்கிழைக்கும் LNK உள்ளது. அந்த ஸ்கிரிப்ட் ஒரு வெளிப்புற சேவையகத்தைத் தொடர்புகொண்டு ஒரு lure PDF மற்றும் XtraViewer (ரிமோட் டெஸ்க்டாப் மென்பொருள்) தொடர்பான கோப்புகளைக் கொண்ட ஒரு தனி ZIP தொகுப்பைப் பெறுகிறது. XtraViewer கூறுகள் செயல்படுத்தப்படுகின்றன - நிலைத்தன்மை அல்லது தொலைநிலை அணுகலை நிறுவ வாய்ப்புள்ளது - மேலும் Go இயங்கக்கூடியது பயன்படுத்தப்படும் வரை சங்கிலி தொடர்கிறது.

எட்ஜ் வழிமாற்றுகளைத் தவறாகப் பயன்படுத்துதல்

பிரச்சாரத்தில் ஒரு முக்கிய தந்திரம், ஒரு போலி 'ஆதரிக்கப்படாத உலாவி' பிழையைக் காட்டும் ஒரு இறங்கும் பக்கமாகும், மேலும் பாதிக்கப்பட்டவர்களுக்கு URL ஐ நகலெடுத்து மைக்ரோசாஃப்ட் எட்ஜில் திறக்க அறிவுறுத்துகிறது. ஸ்கிரிப்ட் செய்யப்பட்ட வழிமாற்றுகள் பெரும்பாலும் நவீன உலாவிகளால் தடுக்கப்படுகின்றன, எனவே தாக்குபவர்கள் பயனரை ஒரு கைமுறை செயலைச் செய்ய (எட்ஜில் நகலெடுத்து/ஒட்டு) நம்ப வைப்பதை நம்பியுள்ளனர், இது பின்னர் பயனரால் தொடங்கப்பட்டதாகக் கருதப்பட்டு பதிவிறக்க ஓட்டத்தைத் தொடர அனுமதிக்கிறது. எட்ஜில் திறந்தவுடன், பக்கம் PDF சுருக்கப்பட்டு 'உங்கள் சாதனத்திற்கு அனுப்பப்பட்டது' என்று கூறும் மற்றொரு போலி பிழையைக் காட்டுகிறது, இது தானியங்கி ZIP பதிவிறக்கத்தைத் தூண்டுகிறது.

சுமை மற்றும் ஏமாற்று பெயரிடும் தந்திரம்

தானாகப் பதிவிறக்கம் செய்யப்பட்ட ZIP கோப்பில், கூறப்படும் வேலை விவரம் மற்றும் PDF போல தோன்றும் தீங்கிழைக்கும் இயங்கக்கூடிய கோப்பு (எடுத்துக்காட்டாக, 'Marriott_Marketing_Job_Description.pdf.exe') உள்ளது. இயங்கக்கூடிய கோப்பு பெயர் பேடிங்கைப் பயன்படுத்துகிறது ('.pdf' மற்றும் '.exe' க்கு இடையில் கூடுதல் இடைவெளிகள்) எனவே சில பார்வைகளில் இது PDF போலத் தெரிகிறது, பாதிக்கப்பட்டவர்கள் அதை இயக்கும் வாய்ப்பை அதிகரிக்கிறது.

வாம்பயர் பாட் திறன்கள்

கைவிடப்பட்ட இயங்கக்கூடியது வாம்பயர் பாட் என அழைக்கப்படும் கோலாங் பைனரி ஆகும். இதன் கவனிக்கப்பட்ட திறன்களில் பின்வருவன அடங்கும்:

• பாதிக்கப்பட்ட ஹோஸ்டை கணக்கிட்டு விவரக்குறிப்பு செய்தல்,

• பரந்த அளவிலான தரவுகளைத் திருடுதல் (நற்சான்றிதழ் கடைகள், கோப்புகள் போன்றவை),

• உள்ளமைக்கக்கூடிய அட்டவணையில் ஸ்கிரீன் ஷாட்களை எடுத்தல்,
  மற்றும்

• கட்டளைகளைப் பெற அல்லது கூடுதல் பேலோடுகளைப் பதிவிறக்க, தாக்குதல் சேவையகத்துடன் (api3.samsungcareers.work எனப் புகாரளிக்கப்பட்டது) கட்டளை மற்றும் கட்டுப்பாட்டுத் தொடர்பைப் பராமரித்தல்.

பண்புக்கூறு மற்றும் உள்கட்டமைப்பு

ஆய்வாளர்கள் இந்தச் செயல்பாட்டை உள்கட்டமைப்பு மறுபயன்பாட்டின் அடிப்படையில் வியட்நாமுடன் இணைக்கின்றனர் - எடுத்துக்காட்டாக, வியட்நாமுடன் இணைக்கப்பட்ட ஆபரேட்டர்களுடன் முன்னர் தொடர்புடைய ஒரு ஐபி முகவரி (103.124.95.161) - மற்றும் இலக்கு வடிவங்கள். பேட்ஷேடோ இதற்கு முன்பு டிஜிட்டல் மார்க்கெட்டிங் நிபுணர்களை குறிவைத்துள்ளது மற்றும் பேஸ்புக் வணிக சொத்துக்களைக் கடத்தும் திருடர்களைப் பயன்படுத்துவதாக அறியப்படும் பிற நிதி ரீதியாக உந்துதல் பெற்ற வியட்நாமிய குழுக்களுடன் ஒன்றுடன் ஒன்று இணைகிறது. இந்தக் குழு குறைந்தது ஒரு வருடமாக செயலில் இருப்பதாகத் தெரிகிறது, மேலும் ஏஜென்ட் டெஸ்லா, லம்மா ஸ்டீலர், வெனோம் ரேட் உள்ளிட்ட தீம்பொருள் குடும்பங்களை விநியோகிக்க samsung-work.com போன்ற டொமைன்களைப் பயன்படுத்தியது, மேலும் அக்டோபர் 2024 இல், இதேபோல் பொறிக்கப்பட்ட வேலை விளக்கக் கோப்புகள் மூலம் குவாசர் ரேட்டை விநியோகிக்கும் பிரச்சாரங்களை மேற்கொண்டது.

தாக்குதல் ஏன் பயனுள்ளதாக இருக்கிறது?

பேட்ஷேடோ, தொழில்துறை தொடர்பான கவர்ச்சிகள் (சந்தைப்படுத்தல் வேலை விளம்பரங்கள்), கோப்பு பெயர் தந்திரங்கள், நிலைப்படுத்தப்பட்ட பேலோடுகள் (எளிய கோப்பு ஸ்கேனிங்கைத் தவிர்க்க) மற்றும் ஸ்கிரிப்ட் செய்யப்பட்ட திருப்பிவிடல் பாதுகாப்புகளைத் தவிர்ப்பதற்கு கைமுறை உலாவி செயலை கட்டாயப்படுத்தும் ஒரு ஓட்டத்தை ஒருங்கிணைக்கிறது. சமூக பொறியியல் மற்றும் பல-நிலை தொழில்நுட்ப படிகளின் கலவையானது வெற்றிகரமான சமரசம் மற்றும் நீண்ட கால அணுகலுக்கான வாய்ப்புகளை அதிகரிக்கிறது.

முடிவுரை

BatShadow-வின் பிரச்சாரம், ஒரு கட்டமைக்கப்பட்ட, தவிர்க்கும் தொழில்நுட்ப சங்கிலியுடன் இணைக்கப்படும்போது இலக்கு வைக்கப்பட்ட சமூக பொறியியல் எவ்வளவு பயனுள்ளதாக இருக்கும் என்பதை அடிக்கோடிட்டுக் காட்டுகிறது. அடிக்கடி ஆட்சேர்ப்பு செய்யும் அல்லது விண்ணப்பதாரர் போக்குவரத்தை கையாளும் நிறுவனங்கள் - மற்றும் ஆன்லைன் சொத்துக்களை நிர்வகிக்கும் டிஜிட்டல் மார்க்கெட்டிங் வல்லுநர்கள் - அஞ்சல்/இணைப்பு கையாளுதலை கடினப்படுத்த வேண்டும், கடுமையான செயல்படுத்தல் கட்டுப்பாடுகளைப் பயன்படுத்த வேண்டும் மற்றும் ஆட்சேர்ப்பு பாணி இணைப்புகளை சரிபார்க்கப்படும் வரை அதிக ஆபத்தாகக் கருத வேண்டும்.