Batshadow adında bir Vietnam tehdit oyuncusu, sosyal mühendislik taktiklerini iş arayanları ve dijital pazarlama profesyonellerini vampir bot adı verilen daha önce belgelenmemiş bir kötü amaçlı yazılım sunmak için aldatmak için yeni bir kampanyaya atfedildi.
Aryaka Tehdit Araştırma Laboratuarları ADITYA K Sood ve Varadharajan K, Hacker News ile paylaşılan bir raporda “Saldırganlar işe alım görevlileri olarak poz veriyor, iş tanımları ve kurumsal belgeler olarak gizlenmiş kötü amaçlı dosyaları dağıtıyorlar.” Dedi. “Açıldığında, bu yemler GO tabanlı bir kötü amaçlı yazılımın enfeksiyon zincirini tetikler.”
Siber güvenlik şirketine göre saldırı zincirleri, kötü niyetli kısayol (LNK) veya kullanıcıları açmak için kandırmak için PDF olarak maskelenen yürütülebilir dosyalarla birlikte Decoy PDF belgeleri içeren zip arşivlerinden yararlanın. Başlatıldığında, LNK dosyası, Marriott’ta bir pazarlama işi için bir lüre belgesini, bir PDF’yi indirmek için harici bir sunucuya ulaşan gömülü bir PowerShell komut dosyası çalıştırır.
PowerShell komut dosyası, aynı sunucudan, uzak masaüstü bağlantı yazılımı olan XtrAviewer ile ilgili dosyaları içeren bir zip dosyasını indirir ve muhtemel ana bilgisayarlara kalıcı erişim sağlamak amacıyla yürütür.
İş tanımının, tarayıcının desteklenmediğini ve “Sayfanın yalnızca Microsoft Edge’deki indirmeleri desteklediğini” belirten sahte bir hata mesajı sunan başka bir açılış sayfasına yönlendirilen başka bir açılış sayfasına yönlendirilen başka bir açılış sayfasına yönlendirilen kurbanlar.
Aryaka, “Kullanıcı OK düğmesini tıkladığında, Chrome aynı anda yönlendirmeyi engeller.” Dedi. “Sayfa daha sonra kullanıcıya URL’yi kopyalamasını ve dosyayı indirmek için kenar tarayıcısında açmasını öğreten başka bir mesaj görüntüler.”
Saldırganın, kurbanın, Google Chrome veya diğer web tarayıcılarının aksine Edge’i kullanmasını sağlamak için talimat, senaryo ve yönlendirmelerin varsayılan olarak bloke edilmesi ve URL’nin kenarda manuel olarak kopyalanması ve yapıştırılması, enfeksiyon zincirinin kullanıcı tarafından başlatılan bir eylem olarak ele alındığı gibi devam etmesini sağlar.
Ancak, kurban sayfayı kenarda açmayı tercih ederse, URL Web tarayıcısında programlı olarak başlatılır, yalnızca ikinci bir hata mesajı görüntülemek için: “Çevrimiçi PDF görüntüleyici şu anda bir sorun yaşıyor. Dosya sıkıştırıldı ve cihazınıza gönderildi.”
Bu daha sonra, bir PDF’yi “.pdf” ve “.exe” arasında ekstra boşluklar arasında dolgulayarak bir PDF’yi taklit eden kötü amaçlı bir yürütülebilir (“Marriott_marketing_job_description.pdf.exe”) dahil olmak üzere iddia edilen iş tanımını içeren bir zip arşivinin otomatik indirimini tetikler.
Yürütilebilir, enfekte olmuş ana bilgisayarın profilini oluşturabilen, çok çeşitli bilgileri çalabilen, yapılandırılabilir aralıklarla ekran görüntülerini yakalayabilen ve saldırgan kontrollü bir sunucu (“api3.samsungkareers ile iletişimi sürdürebilen bir Golang kötü amaçlı yazılımdır.[.]çalışın “) komutları çalıştırmak veya ek yükler almak için.
Batshadow’un Vietnam ile bağlantıları bir IP adresi kullanımından kaynaklanıyor (103.124.95[.]161) Daha önce ülkeye bağlantıları olan bilgisayar korsanları tarafından kullanıldığı gibi işaretlenmişti. Ayrıca, dijital pazarlama profesyonelleri, Facebook iş hesaplarını ele geçirmek için Stealer kötü amaçlı yazılımları dağıtma sicili olan Vietnam finansal olarak motive olmuş çeşitli gruplar tarafından yürütülen saldırıların ana hedeflerinden biri olmuştur.
Ekim 2024’te Cyble ayrıca, Booby tuzaklı iş tanımı dosyaları içeren kimlik avı e-postalarını kullanarak Quasar Rat ile iş arayanları ve dijital pazarlama profesyonellerini hedefleyen Vietnam tehdit oyuncusu tarafından düzenlenen sofistike bir çok aşamalı saldırı kampanyasının ayrıntılarını açıkladı.
Batshadow, Ajan Tesla, Lumma Stealer ve Venom Rat gibi kötü amaçlı yazılım ailelerini yaymak için Samsung-work.com gibi benzer alanları kullanan önceki kampanyalarla en az bir yıl boyunca aktif olduğu değerlendiriliyor.
Aryaka, “Batshadow Tehdit Grubu, iş arayanları ve dijital pazarlama profesyonellerini hedeflemek için sofistike sosyal mühendislik taktikleri kullanmaya devam ediyor.” Dedi. “Grup, gizlenmiş belgeler ve çok aşamalı bir enfeksiyon zincirinden yararlanarak, sistem gözetim, veri eksfiltrasyonu ve uzak görev yürütme yeteneğine sahip GO tabanlı bir vampir botu sunar.”