Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Mối đe dọa dai dẳng nâng cao (APT) Phần mềm độc hại Vampire Bot

Phần mềm độc hại Vampire Bot

Đến năm Mezo năm Mối đe dọa dai dẳng nâng cao (APT), Phần mềm độc hại
Dịch sang:

Một tác nhân đe dọa nói tiếng Việt bị theo dõi là BatShadow đang thực hiện một chiến dịch nhắm mục tiêu, dụ dỗ người tìm việc và các chuyên gia tiếp thị kỹ thuật số cài đặt một phần mềm độc hại dựa trên Go chưa được ghi nhận trước đó mà các nhà nghiên cứu gọi là Vampire Bot. Nhóm này mạo danh các nhà tuyển dụng và phát tán các mô tả công việc và tệp PDF của công ty có vẻ hợp pháp. Khi tương tác với chúng, chúng sẽ kích hoạt chuỗi lây nhiễm nhiều giai đoạn và cung cấp khả năng giám sát từ xa và đánh cắp dữ liệu.

Kỹ thuật xã hội và phân phối mồi nhử

Kẻ tấn công tạo ra các tin nhắn kiểu tuyển dụng và tệp đính kèm ZIP chứa các tệp PDF giả mạo cùng với các phím tắt độc hại (LNK) hoặc các tệp thực thi được ngụy trang dưới dạng PDF. Các tài liệu dụ dỗ này đặc biệt nhắm vào các vị trí tiếp thị (một ví dụ liên quan đến công việc tiếp thị của Marriott) để tăng độ tin cậy với các nạn nhân dự định. Nạn nhân được khuyến khích "xem trước" hoặc tải xuống mô tả công việc, từ đó bắt đầu chuỗi khai thác nhiều giai đoạn.

Tiến trình chuỗi lây nhiễm

Các gói ZIP bao gồm một LNK độc hại chạy một tập lệnh PowerShell nhúng. Tập lệnh này sẽ liên hệ với một máy chủ bên ngoài để lấy một tệp PDF mồi và một gói ZIP riêng biệt chứa các tệp liên quan đến XtraViewer (phần mềm máy tính để bàn từ xa). Các thành phần XtraViewer được thực thi — có khả năng thiết lập tính bền vững hoặc truy cập từ xa — và chuỗi này tiếp tục cho đến khi tệp thực thi Go được triển khai.

Lạm dụng chuyển hướng Edge

Một thủ thuật quan trọng trong chiến dịch này là một trang đích hiển thị lỗi giả mạo "trình duyệt không được hỗ trợ" và hướng dẫn nạn nhân sao chép URL và mở trong Microsoft Edge. Các chuyển hướng được lập trình sẵn thường bị chặn bởi các trình duyệt hiện đại, vì vậy kẻ tấn công dựa vào việc thuyết phục người dùng thực hiện thao tác thủ công (sao chép/dán vào Edge), sau đó được coi là do người dùng khởi tạo và cho phép luồng tải xuống tiếp tục. Khi mở trong Edge, trang web lại hiển thị một lỗi giả mạo khác, tuyên bố rằng tệp PDF đã được nén và "đã gửi đến thiết bị của bạn", kích hoạt quá trình tải xuống ZIP tự động.

Mẹo đặt tên cho Payload và Decoy

Tệp ZIP được tự động tải xuống chứa mô tả công việc được cho là của mã độc và một tệp thực thi độc hại được đặt tên trông giống như tệp PDF (ví dụ: 'Marriott_Marketing_Job_Description.pdf.exe'). Tệp thực thi này sử dụng khoảng đệm tên tệp (khoảng trắng thừa giữa '.pdf' và '.exe') để trông giống như tệp PDF trong một số chế độ xem, làm tăng khả năng nạn nhân sẽ chạy tệp này.

Khả năng của Vampire Bot

Tệp thực thi bị xóa là một tệp nhị phân Golang có tên là Vampire Bot. Các khả năng được quan sát thấy của nó bao gồm:

  • liệt kê và lập hồ sơ vật chủ bị nhiễm bệnh,
  • đánh cắp một tập dữ liệu lớn (kho lưu trữ thông tin xác thực, tệp, v.v.),
  • chụp ảnh màn hình theo lịch trình có thể cấu hình được,
  • duy trì liên lạc chỉ huy và điều khiển với máy chủ của kẻ tấn công (được báo cáo là api3.samsungcareers.work) để nhận lệnh hoặc tải xuống các tải trọng bổ sung.

Quyền sở hữu và cơ sở hạ tầng

Các nhà phân tích liên hệ hoạt động này với Việt Nam dựa trên việc tái sử dụng cơ sở hạ tầng — ví dụ, một địa chỉ IP (103.124.95.161) trước đây được liên kết với các nhà mạng có liên hệ với Việt Nam — và dựa trên các mô hình nhắm mục tiêu. BatShadow đã từng nhắm mục tiêu vào các chuyên gia tiếp thị kỹ thuật số và trùng lặp với các nhóm Việt Nam khác có động cơ tài chính, được biết đến là triển khai các phần mềm đánh cắp dữ liệu để chiếm đoạt tài sản của Facebook Business. Nhóm này dường như đã hoạt động ít nhất một năm và trước đó đã sử dụng các tên miền như samsung-work.com để phát tán các nhóm phần mềm độc hại bao gồm Agent Tesla, Lumma Stealer, Venom RAT, và, vào tháng 10 năm 2024, các chiến dịch phát tán Quasar RAT thông qua các tệp mô tả công việc được cài bẫy tương tự.

Tại sao cuộc tấn công này lại hiệu quả?

BatShadow kết hợp các chiêu trò liên quan đến ngành (quảng cáo việc làm tiếp thị), thủ thuật đặt tên tệp, tải trọng dàn dựng (để tránh quét tệp đơn giản) và một luồng buộc trình duyệt phải thực hiện thao tác thủ công để vượt qua các biện pháp bảo vệ chuyển hướng theo kịch bản. Sự kết hợp giữa kỹ thuật xã hội và các bước kỹ thuật nhiều giai đoạn này làm tăng khả năng xâm phạm thành công và truy cập lâu dài.

Phần kết luận

Chiến dịch của BatShadow nhấn mạnh hiệu quả của kỹ thuật tấn công mạng xã hội nhắm mục tiêu khi kết hợp với một chuỗi kỹ thuật dàn dựng, khó phát hiện. Các tổ chức thường xuyên tuyển dụng hoặc xử lý lưu lượng ứng viên — và các chuyên gia tiếp thị kỹ thuật số quản lý tài sản trực tuyến — nên tăng cường xử lý thư/tệp đính kèm, áp dụng các biện pháp kiểm soát thực thi nghiêm ngặt và coi các tệp đính kèm theo kiểu tuyển dụng là rủi ro cao cho đến khi được xác thực.

xu hướng

Phiên bản hộp thư của bạn sẽ bị ngừng hoạt động lừa đảo

Lừa đảo, Thư rác
Những kẻ lừa đảo trực tuyến liên tục phát triển các thủ đoạn mới để lừa đảo người dùng và đánh cắp dữ liệu quan trọng. Một ví dụ điển hình là trò lừa đảo "Phiên bản Hộp thư của bạn sẽ bị ngừng hoạt động", một chiến dịch lừa đảo được thiết kế để thu thập thông tin đăng nhập từ những nạn nhân nhẹ dạ cả tin. Các chuyên gia an ninh mạng cảnh báo rằng những tin nhắn lừa đảo này không liên quan đến...

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
33,974
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...