Vampire Bot Malware

BatShadow గా గుర్తించబడిన వియత్నామీస్ మాట్లాడే బెదిరింపు నటుడు ఉద్యోగార్ధులను మరియు డిజిటల్ మార్కెటింగ్ నిపుణులను పరిశోధకులు వాంపైర్ బాట్ అని పిలిచే గతంలో నమోదుకాని Go-ఆధారిత మాల్వేర్‌ను ఇన్‌స్టాల్ చేయమని ఆకర్షించే లక్ష్య ప్రచారాన్ని నిర్వహిస్తున్నాడు. ఈ బృందం రిక్రూటర్లను అనుకరిస్తుంది మరియు చట్టబద్ధమైన ఉద్యోగ వివరణలు మరియు కార్పొరేట్ PDF లను పంపిణీ చేస్తుంది, ఇవి సంభాషించినప్పుడు, బహుళ-దశల ఇన్ఫెక్షన్ గొలుసును ప్రేరేపిస్తాయి మరియు రిమోట్ నిఘా మరియు డేటా-దొంగతనం సామర్థ్యాలను అందిస్తాయి.

సోషల్ ఇంజనీరింగ్ మరియు లూర్ డెలివరీ

దాడి చేసేవారు రిక్రూట్‌మెంట్-స్టైల్ సందేశాలు మరియు జిప్ అటాచ్‌మెంట్‌లను రూపొందించారు, వీటిలో మోసపూరితమైన షార్ట్‌కట్‌లు (LNK) లేదా PDFల వలె మారువేషంలో ఉన్న ఎక్జిక్యూటబుల్‌లతో పాటు డెకాయ్ PDF ఫైల్‌లు ఉంటాయి. ఉద్దేశించిన బాధితులతో విశ్వసనీయతను పెంచడానికి డాక్యుమెంట్ ఎరలు ప్రత్యేకంగా మార్కెటింగ్ పాత్రలను (మారియట్ మార్కెటింగ్ ఉద్యోగాన్ని సూచించే ఒక ఎర) లక్ష్యంగా చేసుకుంటాయి. బాధితులు ఉద్యోగ వివరణను 'ప్రివ్యూ' చేయమని లేదా డౌన్‌లోడ్ చేసుకోవాలని ప్రోత్సహించబడ్డారు, ఇది బహుళ-దశల దోపిడీ క్రమాన్ని ప్రారంభిస్తుంది.

ఇన్ఫెక్షన్ గొలుసు పురోగతి

జిప్ ప్యాకేజీలలో ఎంబెడెడ్ పవర్‌షెల్ స్క్రిప్ట్‌ను అమలు చేసే హానికరమైన LNK ఉంటుంది. ఆ స్క్రిప్ట్ ఒక లూర్ PDFని మరియు XtraViewer (రిమోట్-డెస్క్‌టాప్ సాఫ్ట్‌వేర్)కి సంబంధించిన ఫైల్‌లను కలిగి ఉన్న ప్రత్యేక జిప్ బండిల్‌ను పొందడానికి బాహ్య సర్వర్‌ను సంప్రదిస్తుంది. XtraViewer భాగాలు అమలు చేయబడతాయి - నిలకడ లేదా రిమోట్ యాక్సెస్‌ను ఏర్పాటు చేసే అవకాశం ఉంది - మరియు Go ఎక్జిక్యూటబుల్ అమలు చేయబడే వరకు గొలుసు కొనసాగుతుంది.

ఎడ్జ్ దారిమార్పులను దుర్వినియోగం చేయడం

ఈ ప్రచారంలో కీలకమైన ఉపాయం ఏమిటంటే, నకిలీ 'సపోర్ట్ చేయని బ్రౌజర్' ఎర్రర్‌ను చూపించే ల్యాండింగ్ పేజీ మరియు బాధితులకు URLని కాపీ చేసి Microsoft Edgeలో తెరవమని సూచిస్తుంది. స్క్రిప్ట్ చేయబడిన దారిమార్పులను తరచుగా ఆధునిక బ్రౌజర్‌లు బ్లాక్ చేస్తాయి, కాబట్టి దాడి చేసేవారు వినియోగదారుని మాన్యువల్ చర్య (ఎడ్జ్‌లోకి కాపీ/పేస్ట్) చేయమని ఒప్పించడంపై ఆధారపడతారు, ఇది వినియోగదారు ప్రారంభించినట్లుగా పరిగణించబడుతుంది మరియు డౌన్‌లోడ్ ప్రవాహాన్ని కొనసాగించడానికి అనుమతిస్తుంది. ఎడ్జ్‌లో తెరిచిన తర్వాత, పేజీ PDF కంప్రెస్ చేయబడిందని మరియు 'మీ పరికరానికి పంపబడిందని' క్లెయిమ్ చేసే మరొక నకిలీ ఎర్రర్‌ను చూపుతుంది, ఇది ఆటోమేటిక్ జిప్ డౌన్‌లోడ్‌ను ప్రేరేపిస్తుంది.

పేలోడ్ మరియు డెకాయ్ నేమింగ్ ట్రిక్

ఆటో-డౌన్‌లోడ్ చేయబడిన జిప్‌లో ఉద్దేశించిన ఉద్యోగ వివరణ మరియు PDF లాగా కనిపించేలా పేరు పెట్టబడిన హానికరమైన ఎక్జిక్యూటబుల్ ఉంటుంది (ఉదాహరణకు, 'Marriott_Marketing_Job_Description.pdf.exe'). ఎక్జిక్యూటబుల్ ఫైల్ నేమ్ ప్యాడింగ్‌ను ఉపయోగిస్తుంది ('.pdf' మరియు '.exe' మధ్య అదనపు ఖాళీలు) కాబట్టి కొన్ని వీక్షణలలో ఇది PDF లాగా కనిపిస్తుంది, బాధితులు దీన్ని అమలు చేసే సంభావ్యతను పెంచుతుంది.

వాంపైర్ బాట్ సామర్థ్యాలు

వదిలివేసిన ఎక్జిక్యూటబుల్ అనేది వాంపైర్ బాట్ గా పిలువబడే గోలాంగ్ బైనరీ. దీని పరిశీలించిన సామర్థ్యాలు:

• సోకిన హోస్ట్‌ను లెక్కించడం మరియు ప్రొఫైల్ చేయడం,

• విస్తృత శ్రేణి డేటాను దొంగిలించడం (క్రెడెన్షియల్ స్టోర్లు, ఫైల్స్ మొదలైనవి),

• కాన్ఫిగర్ చేయగల షెడ్యూల్‌లో స్క్రీన్‌షాట్‌లను తీయడం,
  మరియు

• ఆదేశాలను స్వీకరించడానికి లేదా అదనపు పేలోడ్‌లను డౌన్‌లోడ్ చేయడానికి దాడి చేసే సర్వర్‌తో (api3.samsungcareers.work గా నివేదించబడింది) కమాండ్-అండ్-కంట్రోల్ కమ్యూనికేషన్‌ను నిర్వహించడం.

ఆపాదింపు మరియు మౌలిక సదుపాయాలు

విశ్లేషకులు ఈ కార్యకలాపాన్ని మౌలిక సదుపాయాల పునర్వినియోగం ఆధారంగా వియత్నాంతో అనుసంధానిస్తారు - ఉదాహరణకు, గతంలో వియత్నాం-లింక్డ్ ఆపరేటర్లతో అనుబంధించబడిన IP చిరునామా (103.124.95.161) - మరియు లక్ష్య నమూనాలపై. BatShadow గతంలో డిజిటల్-మార్కెటింగ్ నిపుణులను లక్ష్యంగా చేసుకుంది మరియు Facebook వ్యాపార ఆస్తులను హైజాక్ చేసే దొంగలను మోహరించడానికి తెలిసిన ఇతర ఆర్థికంగా ప్రేరేపించబడిన వియత్నామీస్ సమూహాలతో అతివ్యాప్తి చెందింది. ఈ సమూహం కనీసం ఒక సంవత్సరం పాటు చురుకుగా ఉన్నట్లు కనిపిస్తోంది మరియు గతంలో ఏజెంట్ టెస్లా, లుమ్మా స్టీలర్, వెనమ్ RAT వంటి మాల్వేర్ కుటుంబాలను పంపిణీ చేయడానికి samsung-work.com వంటి డొమైన్‌లను ఉపయోగించింది మరియు అక్టోబర్ 2024లో, ఇదే విధంగా బూబీ-ట్రాప్ చేయబడిన ఉద్యోగ వివరణ ఫైల్‌ల ద్వారా Quasar RATని పంపిణీ చేసే ప్రచారాలను చేసింది.

దాడి ఎందుకు ప్రభావవంతంగా ఉంటుంది?

BatShadow పరిశ్రమకు సంబంధించిన ఆకర్షణలు (మార్కెటింగ్ ఉద్యోగ ప్రకటనలు), ఫైల్ పేరు ఉపాయాలు, దశలవారీ పేలోడ్‌లు (సాధారణ ఫైల్ స్కానింగ్‌ను తప్పించుకోవడానికి) మరియు స్క్రిప్ట్ చేయబడిన దారిమార్పు రక్షణలను దాటవేయడానికి మాన్యువల్ బ్రౌజర్ చర్యను బలవంతం చేసే ప్రవాహాన్ని మిళితం చేస్తుంది. సోషల్ ఇంజనీరింగ్ మరియు బహుళ-దశల సాంకేతిక దశల మిశ్రమం విజయవంతమైన రాజీ మరియు దీర్ఘకాలిక యాక్సెస్ అవకాశాలను పెంచుతుంది.

ముగింపు

బ్యాట్‌షాడో ప్రచారం, దశలవారీగా, తప్పించుకునే సాంకేతిక గొలుసుతో జత చేసినప్పుడు లక్ష్యంగా చేసుకున్న సోషల్ ఇంజనీరింగ్ ఎంత ప్రభావవంతంగా ఉంటుందో నొక్కి చెబుతుంది. తరచుగా నియామకాలు చేసుకునే లేదా దరఖాస్తుదారుల ట్రాఫిక్‌ను నిర్వహించే సంస్థలు - మరియు ఆన్‌లైన్ ఆస్తులను నిర్వహించే డిజిటల్ మార్కెటింగ్‌లోని నిపుణులు - మెయిల్/అటాచ్‌మెంట్ నిర్వహణను కఠినతరం చేయాలి, కఠినమైన అమలు నియంత్రణలను వర్తింపజేయాలి మరియు రిక్రూట్‌మెంట్-శైలి అటాచ్‌మెంట్‌లను ధృవీకరించబడే వరకు అధిక-రిస్క్‌గా పరిగణించాలి.