Как новое вредоносное по Vampire Bot превращает поиск работы в кибератаку?

Вьетнамская хакерская группировка BatShadow, активная как минимум год, проводит сложную кампанию социальной инженерии, направленную на соискателей и специалистов по цифровому маркетингу. Основной мотивацией группы являются финансы, что соответствует тактике злоумышленников, специализирующихся на захвате бизнес-аккаунтов Ф⃰. Для достижения своих целей они используют ранее не задокументированное вредоносное программное обеспечение.
Как новое вредоносное по Vampire Bot превращает поиск работы в кибератаку?
Изображение носит иллюстративный характер

Центральным элементом атаки является новая вредоносная программа Vampire Bot, написанная на языке программирования Go (Golang). После проникновения в систему Vampire Bot способен профилировать зараженный хост, похищать широкий спектр информации, делать скриншоты с настраиваемыми интервалами, выполнять удаленные команды с сервера злоумышленников и загружать дополнительные вредоносные модули. Управление программой осуществляется через командный сервер, расположенный по адресу api3.samsungcareers[.]work.

Атака начинается с того, что злоумышленники, выдавая себя за рекрутеров, распространяют вредоносные ZIP-архивы под видом описаний вакансий или корпоративных документов. Внутри архива находится PDF-файл-приманка и вредоносный ярлык (.LNK) или исполняемый файл, замаскированный под документ. Когда пользователь открывает файл.LNK, запускается встроенный скрипт PowerShell.

Запущенный PowerShell-скрипт подключается к внешнему серверу и загружает два компонента. Первый — это убедительный документ-приманка, представляющий собой описание маркетинговой вакансии в компании Marriott. Второй компонент — это ZIP-архив, содержащий программу для удаленного доступа XtraViewer. Она устанавливается в системе для обеспечения постоянного доступа злоумышленников к зараженному устройству.

Ключевой этап атаки включает в себя обман, связанный с браузером. Документ-приманка от Marriott содержит ссылку для «просмотра» вакансии. При переходе по ней в браузере Google Chrome открывается целевая страница с поддельным сообщением об ошибке, в котором говорится, что «страница поддерживает загрузку только в Microsoft Edge». Поскольку Chrome блокирует автоматическое перенаправление, пользователю предлагается вручную скопировать URL-адрес и вставить его в браузер Edge.

Когда пользователь открывает скопированный URL-адрес в Microsoft Edge, это действие, инициированное вручную, обходит некоторые механизмы безопасности. На странице отображается второе поддельное сообщение об ошибке: «В онлайн-просмотрщике PDF в настоящее время возникла проблема. Файл был сжат и отправлен на ваше устройство». Это сообщение инициирует автоматическую загрузку финального вредоносного архива.

Финальный ZIP-архив содержит исполняемый файл Vampire Bot. Для маскировки используется обманчивое имя файла, имитирующее PDF-документ с помощью лишних пробелов, например, «Marriott_Marketing_Job_Description.pdf.exe». Это сделано для того, чтобы пользователь с меньшей вероятностью заподозрил угрозу и запустил вредоносную программу.

Данную кампанию обнаружили и проанализировали исследователи Адитья К. Суд и Варадхараджан К. из Aryaka Threat Research Labs. Отчет об их находках был передан изданию The Hacker News. Связь группировки BatShadow с Вьетнамом подтверждается использованием IP-адреса 103.124.95[.]161, который ранее был замечен в активности вьетнамских хакеров, а также тактикой, нацеленной на специалистов по цифровому маркетингу.

В прошлых кампаниях BatShadow использовала похожие домены, такие как samsung-work.com, и распространяла другие известные семейства вредоносных программ. Среди них были Agent Tesla, Lumma Stealer и Venom RAT, что указывает на опыт и постоянство деятельности этой группы.

Подобная тактика не является уникальной. В октябре 2024 года исследовательская компания Cyble сообщила о другой вьетнамской группировке, которая проводила многоэтапную атаку, нацеленную на ту же аудиторию — соискателей работы и маркетологов. В той кампании злоумышленники использовали фишинговые письма с зараженными файлами описания вакансий для развертывания вредоносного ПО Quasar RAT.


Новое на сайте

20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать...
Ссылка