Шкідливе програмне забезпечення Vampire Bot
В'єтнамський зловмисник, якого відстежували як BatShadow, проводить цілеспрямовану кампанію, яка спонукає шукачів роботи та фахівців з цифрового маркетингу встановити раніше недокументоване шкідливе програмне забезпечення на базі Go, яке дослідники називають Vampire Bot. Група видає себе за рекрутерів та розповсюджує, здавалося б, легітимні описи вакансій та корпоративні PDF-файли, які при взаємодії з ними запускають багатоетапний ланцюг зараження та надають можливості віддаленого спостереження та крадіжки даних.
Зміст
Соціальна інженерія та доставка приманок
Зловмисники створюють повідомлення у стилі вербування та ZIP-файли, що містять PDF-файли-приманки разом із шкідливими ярликами (LNK) або виконуваними файлами, замаскованими під PDF. Документи-приманки спеціально спрямовані на маркетингові посади (одна з приманок посилалася на маркетингову посаду в Marriott), щоб підвищити довіру до цільових жертв. Жертвам пропонують «попередній перегляд» або завантаження опису вакансії, що запускає багатоетапну послідовність експлуатації.
Прогресування ланцюга інфекції
Ці ZIP-пакети містять шкідливий LNK, який запускає вбудований скрипт PowerShell. Цей скрипт зв'язується із зовнішнім сервером, щоб отримати PDF-файл-приманку та окремий ZIP-пакет, який містить файли, пов'язані з XtraViewer (програмне забезпечення для віддаленого робочого столу). Компоненти XtraViewer виконуються — ймовірно, для встановлення постійного доступу або віддаленого доступу — і ланцюжок продовжується, доки не буде розгорнуто виконуваний файл Go.
Зловживання переадресаціями Edge
Ключовим трюком кампанії є цільова сторінка, яка показує фальшиву помилку «непідтримуваний браузер» та пропонує жертвам скопіювати URL-адресу та відкрити її в Microsoft Edge. Скриптові перенаправлення часто блокуються сучасними браузерами, тому зловмисники покладаються на те, щоб переконати користувача виконати дію вручну (скопіювати/вставити в Edge), яка потім розглядається як ініційована користувачем і дозволяє продовжити процес завантаження. Після відкриття в Edge сторінка показує ще одну фальшиву помилку, яка стверджує, що PDF-файл було стиснуто та «надіслано на ваш пристрій», що запускає автоматичне завантаження ZIP-архіву.
Хитрощі з найменуванням корисного навантаження та приманки
Автоматично завантажений ZIP-архів містить нібито опис вакансії та шкідливий виконуваний файл з назвою, яка виглядає як PDF-файл (наприклад, «Marriott_Marketing_Job_Description.pdf.exe»). Виконуваний файл використовує доповнення до назви файлу (додаткові пробіли між «.pdf» та «.exe»), тому в деяких випадках він виглядає як PDF, що збільшує ймовірність того, що жертви запустять його.
Можливості бота-вампіра
Викинутий виконуваний файл — це бінарний файл Golang під назвою Vampire Bot. Його виявлені можливості включають:
- перерахування та профілювання зараженого хоста,
і
Атрибуція та інфраструктура
Аналітики пов'язують цю діяльність з В'єтнамом на основі повторного використання інфраструктури — наприклад, IP-адреси (103.124.95.161), яка раніше асоціювалася з операторами, пов'язаними з В'єтнамом, — та на основі моделей таргетування. BatShadow раніше вже атакувала фахівців з цифрового маркетингу та збігається з іншими фінансово мотивованими в'єтнамськими групами, відомими використанням програм-крадіжок, які захоплюють бізнес-активи Facebook. Схоже, що група веде активну діяльність щонайменше рік і раніше використовувала такі домени, як samsung-work.com, для розповсюдження сімейств шкідливих програм, включаючи Agent Tesla, Lumma Stealer, Venom RAT, а в жовтні 2024 року проводила кампанії з розповсюдження Quasar RAT через аналогічні заміновані файли опису вакансій.
Чому атака ефективна?
BatShadow поєднує галузеві приманки (маркетингові оголошення про роботу), трюки з іменами файлів, поетапні корисні навантаження (для уникнення простого сканування файлів) та потік, який примушує браузер виконувати ручну дію для обходу сценарійного захисту переадресації. Таке поєднання соціальної інженерії та багатоетапних технічних кроків збільшує шанси на успішну компрометацію та довгостроковий доступ.
Висновок
Кампанія BatShadow підкреслює, наскільки ефективною є цілеспрямована соціальна інженерія в поєднанні з поетапним, ухильним технічним ланцюжком. Організації, які часто набирають персонал або обробляють трафік кандидатів, а також фахівці з цифрового маркетингу, які керують онлайн-активами, повинні посилити обробку пошти/вкладень, застосовувати суворий контроль виконання та розглядати вкладення, що використовуються в рекрутинговому стилі, як високоризикові, доки вони не будуть підтверджені.
