Un actor de amenazas vietnamita llamado BatShadow ha sido atribuido a una nueva campaña que aprovecha tácticas de ingeniería social para engañar a los solicitantes de empleo y a los profesionales del marketing digital para entregar un malware previamente no documentado llamado Vampire Bot.
«Los atacantes se hacen pasar por reclutadores y distribuyen archivos maliciosos disfrazados de descripciones de puestos y documentos corporativos», dijeron los investigadores de Aryaka Threat Research Labs, Aditya K Sood y Varadharajan K. dicho en un informe compartido con The Hacker News. «Cuando se abren, estos señuelos desencadenan la cadena de infección de un malware basado en Go».
Las cadenas de ataque, según la empresa de ciberseguridad, aprovechan archivos ZIP que contienen documentos PDF señuelo junto con accesos directos maliciosos (LNK) o archivos ejecutables enmascarados como PDF para engañar a los usuarios para que los abran. Cuando se inicia, el archivo LNK ejecuta un script PowerShell integrado que llega a un servidor externo para descargar un documento atractivo, un PDF para un trabajo de marketing en Marriott.
El script de PowerShell también descarga desde el mismo servidor un archivo ZIP que incluye archivos relacionados con XtraViewer, un software de conexión a escritorio remoto, y lo ejecuta probablemente con el objetivo de establecer un acceso persistente a los hosts comprometidos.
Las víctimas que terminan haciendo clic en un enlace en el PDF del señuelo para supuestamente «obtener una vista previa» de la descripción del trabajo son dirigidas a otra página de destino que muestra un mensaje de error falso que indica que el navegador no es compatible y que «la página solo admite descargas en Microsoft Edge».
«Cuando el usuario hace clic en el botón Aceptar, Chrome bloquea simultáneamente la redirección», dijo Aryaka. «Luego, la página muestra otro mensaje que indica al usuario que copie la URL y la abra en el navegador Edge para descargar el archivo».
La instrucción por parte del atacante de lograr que la víctima use Edge en lugar de, por ejemplo, Google Chrome u otros navegadores web, probablemente se deba al hecho de que las ventanas emergentes y los redireccionamientos programados probablemente estén bloqueados de forma predeterminada, mientras que copiar y pegar manualmente la URL en Edge permite que la cadena de infección continúe, ya que se trata como una acción iniciada por el usuario.
Sin embargo, si la víctima opta por abrir la página en Edge, la URL se inicia mediante programación en el navegador web, solo para mostrar un segundo mensaje de error: «El visor de PDF en línea está experimentando un problema actualmente. El archivo ha sido comprimido y enviado a su dispositivo».
Posteriormente, esto activa la descarga automática de un archivo ZIP que contiene la supuesta descripción del trabajo, incluido un ejecutable malicioso («Marriott_Marketing_Job_Description.pdf.exe») que imita un PDF rellenando espacios adicionales entre «.pdf» y «.exe».
El ejecutable es un malware de Golang denominado Vampire Bot que puede perfilar el host infectado, robar una amplia gama de información, realizar capturas de pantalla a intervalos configurables y mantener la comunicación con un servidor controlado por el atacante («api3.samsungcareers[.]work») para ejecutar comandos o recuperar cargas útiles adicionales.
Los vínculos de BatShadow con Vietnam se derivan del uso de una dirección IP (103.124.95[.]161) que ha sido previamente señalado como utilizado por piratas informáticos con vínculos con el país. Además, profesionales del marketing digital haber sido uno de los objetivos principales de ataques perpetrados por varios vietnamita grupos motivados financieramenteque tienen un historial de implementación de malware ladrón para secuestrar cuentas comerciales de Facebook.
En octubre de 2024, Cyble también revelado detalles de una sofisticada campaña de ataque de varias etapas orquestada por un actor de amenazas vietnamita que se dirigió a solicitantes de empleo y profesionales del marketing digital con Quasar RAT mediante correos electrónicos de phishing que contenían archivos de descripción de puestos con trampas explosivas.
Se estima que BatShadow estará activo durante al menos un año, con previo campañas usando dominios similarescomo samsung-work.com, para propagar familias de malware, incluidas Agent Tesla, Lumma Stealer y Venom RAT.
«El grupo de amenazas BatShadow continúa empleando sofisticadas tácticas de ingeniería social para atacar a quienes buscan empleo y profesionales del marketing digital», dijo Aryaka. «Al aprovechar documentos disfrazados y una cadena de infección de múltiples etapas, el grupo ofrece un Vampire Bot basado en Go capaz de vigilancia del sistema, filtración de datos y ejecución remota de tareas».
Fuente