Een Vietnamese dreigingsacteur genaamd Batshadow is toegeschreven aan een nieuwe campagne die gebruik maakt van social engineering -tactieken om werkzoekenden en digitale marketingprofessionals te misleiden om een eerder ongedocumenteerde malware te leveren genaamd Vampire Bot.
“De aanvallers poseren als recruiters, het verspreiden van kwaadaardige bestanden vermomd als functiebeschrijvingen en bedrijfsdocumenten,” zeiden Aryaka Threat Research Labs -onderzoekers Aditya K Sood en Varadharajan K in een rapport gedeeld met het Hacker News. “Wanneer geopend, activeren deze kunstaas de infectieketen van een Go-gebaseerde malware.”
De aanvalsketens, volgens het cybersecuritybedrijf, gebruikmaken van zip -archieven met Decoy PDF -documenten samen met Malicious Sortcut (LNK) of uitvoerbare bestanden die zijn gemaskeerd als PDF om gebruikers te misleiden om ze te openen. Wanneer het wordt gelanceerd, voert het LNK -bestand een ingesloten PowerShell -script uit dat een externe server reikt om een kunstaasdocument te downloaden, een PDF voor een marketingtaak bij Marriott.
Het PowerShell -script downloadt ook van dezelfde server, een zip -bestand met bestanden met betrekking tot Xtraviewer, een externe desktopverbindingssoftware, en voert dit waarschijnlijk uit met als doel aanhoudende toegang tot gecompromitteerde hosts te maken.
Slachtoffers die uiteindelijk op een link in de Lure PDF klikken om zogenaamd de functiebeschrijving te “voorbeeld” worden naar een andere bestemmingspagina die een nepfoutbericht bedient waarin staat dat de browser niet wordt ondersteund en dat “de pagina alleen downloads op Microsoft Edge ondersteunt.”
“Wanneer de gebruiker op de knop OK klikt, blokkeert Chrome tegelijkertijd de omleiding,” zei Aryaka. “De pagina geeft vervolgens een ander bericht weer dat de gebruiker instrueert om de URL te kopiëren en in de randbrowser te openen om het bestand te downloaden.”
De instructie van de kant van de aanvaller om het slachtoffer te laten gebruiken, in tegenstelling tot bijvoorbeeld Google Chrome of andere webbrowsers, is waarschijnlijk te danken aan het feit dat scriptpop-ups en omleidingen waarschijnlijk standaard worden geblokkeerd, terwijl het handmatig kopiëren en plakken van de URL de infectieketen doorgaat, omdat het wordt behandeld als een door de gebruiker worden behandeld als een door de gebruiker worden behandeld.
Als het slachtoffer echter ervoor kiest om de pagina in Edge te openen, wordt de URL programmatisch gelanceerd in de webbrowser, alleen om een tweede foutmelding weer te geven: “De online PDF -viewer ondervindt momenteel een probleem. Het bestand is gecomprimeerd en naar uw apparaat verzonden.”
Dit activeert vervolgens de auto-download van een zip-archief met de vermeende functiebeschrijving, inclusief een kwaadaardig uitvoerbaar bestand (“Marriott_marketing_job_description.pdf.exe”) dat een PDF nabootst door extra spaces tussen “.pdf” en “.exe.”
Het uitvoerbare bestand is een Golang-malware genaamd Vampire Bot die de geïnfecteerde host kan profileren, een breed scala aan informatie kan stelen, screenshots vastlegt met configureerbare intervallen en communicatie handhaven met een aanvallergestuurde server (“API3.SamsungCareers (.) Work”) om commando’s uit te voeren of aanvullende payloads te halen.
Batshadow’s links naar Vietnam komen voort uit het gebruik van een IP -adres (103.124.95 (.) 161) dat eerder is gemarkeerd zoals gebruikt door hackers met links naar het land. Bovendien zijn digitale marketingprofessionals een van de belangrijkste doelen geweest van aanvallen die zijn gepleegd door verschillende Vietnamese financieel gemotiveerde groepen, die een track record hebben van het implementeren van Stealer -malware om Facebook -bedrijfsaccounts te kapen.
In oktober 2024 onthulde Cyble ook details van een geavanceerde multi-fase aanvalscampagne georkestreerd door een Vietnamese dreigingsacteur die zich richtte op werkzoekenden en digitale marketingprofessionals met quasarrat met phishing-e-mails met booby-gevangen functiebeschrijvingbestanden.
Batshadow wordt minstens een jaar actief als actief, met eerdere campagnes die vergelijkbare domeinen gebruiken, zoals Samsung-work.com, om malwarefamilies, waaronder Agent Tesla, Lumma Stealer en Venom Rat, te propageren.
“De Batshadow Threat Group blijft geavanceerde social engineering -tactieken gebruiken om werkzoekenden en digitale marketingprofessionals te richten,” zei Aryaka. “Door gebruik te maken van vermomde documenten en een multi-fasen infectieketen, levert de groep een GO-gebaseerde vampierbot die in staat is om systeembewaking, gegevensuitvoeringen en externe taakuitvoering.”
