Un actor de amenazas vietnamita llamado BatShadow ha sido atribuido a una nueva campaña que aprovecha tácticas de ingeniería social para engañar a los solicitantes de empleo y a los profesionales del marketing digital para entregar un malware previamente no documentado llamado Vampire Bot.
“Los atacantes se hacen acontecer por reclutadores y distribuyen archivos maliciosos disfrazados de descripciones de trabajo y documentos corporativos”, dijeron los investigadores de Aryaka Threat Research Labs, Aditya K Sood y Varadharajan K, en un crónica compartido con The Hacker News. “Cuando se abren, estos señuelos desencadenan la condena de infección de un malware basado en Go”.
Las cadenas de ataque, según la empresa de ciberseguridad, aprovechan archivos ZIP que contienen documentos PDF señuelo conexo con accesos directos maliciosos (LNK) o archivos ejecutables enmascarados como PDF para engañar a los usuarios para que los abran. Cuando se inicia, el archivo LNK ejecuta un script PowerShell integrado que llega a un servidor forastero para descargar un documento atractivo, un PDF para un trabajo de marketing en Marriott.
El script de PowerShell además descarga desde el mismo servidor un archivo ZIP que incluye archivos relacionados con XtraViewer, un software de conexión a escritorio remoto, y lo ejecuta probablemente con el objetivo de establecer un camino persistente a los hosts comprometidos.
Las víctimas que terminan haciendo clic en un enlace en el PDF del señuelo para supuestamente “obtener una apariencia previa” de la descripción del trabajo son dirigidas a otra página de destino que muestra un mensaje de error falsificado que indica que el navegador no es compatible y que “la página solo admite descargas en Microsoft Edge”.
“Cuando el legatario hace clic en el clavija Aceptar, Chrome bloquea simultáneamente la redirección”, dijo Aryaka. “Luego, la página muestra otro mensaje que indica al legatario que copie la URL y la fiordo en el navegador Edge para descargar el archivo”.
La instrucción por parte del atacante de ganar que la víctima use Edge en emplazamiento de, por ejemplo, Google Chrome u otros navegadores web, probablemente se deba al hecho de que las ventanas emergentes y los redireccionamientos programados probablemente estén bloqueados de forma predeterminada, mientras que copiar y pegar manualmente la URL en Edge permite que la condena de infección continúe, ya que se comercio como una bono iniciada por el legatario.
Sin confiscación, si la víctima opta por brindar la página en Edge, la URL se inicia mediante programación en el navegador web, solo para mostrar un segundo mensaje de error: “El visor de PDF en linde está experimentando un problema actualmente. El archivo ha sido comprimido y enviado a su dispositivo”.
Seguidamente, esto activa la descarga cibernética de un archivo ZIP que contiene la supuesta descripción del trabajo, incluido un ejecutable sagaz (“Marriott_Marketing_Job_Description.pdf.exe”) que imita un PDF rellenando espacios adicionales entre “.pdf” y “.exe”.
El ejecutable es un malware de Golang denominado Vampire Bot que puede perfilar el host infectado, robar una amplia tono de información, realizar capturas de pantalla a intervalos configurables y nutrir la comunicación con un servidor controlado por el atacante (“api3.samsungcareers(.)work”) para ejecutar comandos o recuperar cargas enseres adicionales.
Los vínculos de BatShadow con Vietnam se derivan del uso de una dirección IP (103.124.95(.)161) que previamente ha sido marcada como utilizada por piratas informáticos con vínculos al país. Por otra parte, los profesionales del marketing digital han sido uno de los principales objetivos de los ataques perpetrados por varios grupos vietnamitas con motivación financiera, que tienen un historial de implementación de malware ratero para secuestrar cuentas comerciales de Facebook.
En octubre de 2024, Cyble además reveló detalles de una sofisticada campaña de ataque de varias etapas orquestada por un actor de amenazas vietnamita que se dirigía a solicitantes de empleo y profesionales del marketing digital con Radiofuente RAT mediante correos electrónicos de phishing que contenían archivos de descripción de puestos con trampas explosivas.
Se estima que BatShadow estará activo durante al menos un año, con campañas anteriores que utilizan dominios similares, como samsung-work.com, para propagar familias de malware que incluyen Agent Tesla, Lumma Stealer y Venom RAT.
“El especie de amenazas BatShadow continúa empleando sofisticadas tácticas de ingeniería social para atacar a quienes buscan empleo y profesionales del marketing digital”, dijo Aryaka. “Al utilizar documentos disfrazados y una condena de infección de múltiples etapas, el especie ofrece un Vampire Bot basado en Go capaz de vigilancia del sistema, filtración de datos y ejecución remota de tareas”.
