El actor de amenaza vietnamita llamado Batshadow se atribuye a una nueva campaña que llama a vampiros de malware previamente indocumentados, aprovechando las tácticas de ingeniería social para engañar a los solicitantes de empleo y los expertos en marketing digital.
«Los ataques serán posibles como reclutadores y distribuirán archivos maliciosos disfrazados como descripciones de empleo y documentos corporativos», dijeron los investigadores de los trabajadores de investigación de amenazas de Aryaka, Aditya K Sood y Varadharajan K, en un informe que comparten con las noticias de los piratas informáticos. «Cuando se abren, estos señuelos causan hilos de infección de malware basado en GO».
La cadena de ataque aprovecha un archivo zip que contiene documentos PDF señuelo, según compañías de seguridad cibernética, y abre a los usuarios que usan atajos maliciosos (LNK) o ejecutables enmascarados como PDF. Al arrancar, el archivo LNK ejecuta un script de PowerShell integrado que contacta a un servidor externo para descargar el documento de Lure, que es un PDF del trabajo de marketing en Marriott.
Los scripts de PowerShell también se pueden ejecutar desde el mismo servidor para descargar archivos zip que contienen archivos relacionados con XtraViewer, el software de conexión de escritorio remoto y establecer un acceso permanente al host comprometido.
La víctima haciendo clic en el enlace PDF de Lure y posiblemente «Vista previa» del navegador no es compatible y está dirigida a otra página de destino que proporciona un mensaje de error falso que dice «La página solo admite descargas de Microsoft Edge».
«Cuando un usuario hace clic en el botón Aceptar, Chrome bloquea al mismo tiempo», dice Aryaka. «La página mostrará otro mensaje pidiendo al usuario que copie la URL y la abrirá en el navegador de borde y descargue el archivo».
Por ejemplo, en contraste con Google Chrome y otros navegadores web, es probable que las instrucciones de los atacantes para que las víctimas usen Edge se encuentren en el hecho de que es probable que las ventanas emergentes y redirecciones con guiones sean bloqueadas de forma predeterminada, mientras que copiar y pegar manualmente la URL puede continuar la cadena de infección para ser tratados como el efecto que usa el usuario.
Sin embargo, si la víctima elige abrir la página en el borde, la URL se iniciará mediante programación en un navegador web y solo para mostrar el segundo mensaje de error «El visor PDF en línea actualmente está experimentando problemas. El archivo ha sido comprimido y enviado al dispositivo».
Esto activará una descarga automática de un archivo zip que contiene descripciones de trabajo, incluido un ejecutable malicioso («Marriott_marketing_job_description.pdf.exe»).
Un ejecutable es un bot de malware Golang que puede perfilar hosts infectados, robar una amplia gama de información, capturar capturas de pantalla a intervalos configurables y mantener la comunicación con los servidores controlados por los atacantes.
El enlace a BAT Shadow a Vietnam se atribuye al uso de una dirección IP (103.124.95 (.) 161) que los hackers con enlaces al país se usaron y marcaron anteriormente. Además, los expertos en marketing digital son uno de los principales objetivos de los ataques llevados a cabo por varios grupos de motivación financiera vietnamita, con un historial de desplegar malware Steeler para secuestrar cuentas comerciales de Facebook.
En octubre de 2024, Cyble también reveló detalles de una sofisticada campaña de ataque de varias etapas organizada por actores de amenaza vietnamita que usaron Booby Rat para atacar a los solicitantes de empleo y a los expertos en marketing digital.
Batshadow ha sido calificado activo durante al menos un año y utiliza dominios similares como Samsung-Work.com para propagar familias de malware, incluidos el agente Tesla, el robador de Lumma y el Venom Rat.
«Los grupos de amenazas de Bat Shadow continúan empleando tácticas sofisticadas de ingeniería social para atacar a los solicitantes de empleo y a los profesionales de marketing digital», dijo Alyakah. «Al aprovechar documentos disfrazados y cadenas de infecciones de varias etapas, este grupo ofrece bots de vampiros basados en GO que pueden monitorear los sistemas, la eliminación de datos y realizar tareas remotas».
Source link
