Un actor de amenazas vietnamita llamado BatShadow ha sido atribuido a una nueva campaña que aprovecha las tácticas de ingeniería social para engañar a los solicitantes de empleo y a los profesionales del marketing digital para que entreguen un malware previamente indocumentado llamado Vampire Bot.
«Los atacantes se hacen pasar por reclutadores y distribuyen archivos maliciosos disfrazados de descripciones de puestos y documentos corporativos», dijeron Aditya K Sood y Varadharajan K, investigadores de Aryaka Threat Research Labs dijo en un informe compartido con The Hacker News. «Cuando se abren, estos señuelos activan la cadena de infección de un malware basado en Go».
Las cadenas de ataque, según la empresa de ciberseguridad, aprovechan los archivos ZIP que contienen documentos PDF engañosos junto con atajos maliciosos (LNK) o archivos ejecutables que se enmascaran como PDF para engañar a los usuarios para que los abran. Cuando se lanza, el archivo LNK ejecuta un script de PowerShell integrado que se dirige a un servidor externo para descargar un documento atractivo, un PDF para un trabajo de marketing en Marriott.
El script de PowerShell también descarga del mismo servidor un archivo ZIP que incluye archivos relacionados con XtraViewer, un software de conexión a escritorio remoto, y lo ejecuta probablemente con el objetivo de establecer un acceso persistente a los hosts comprometidos.
Las víctimas que acaban haciendo clic en un enlace del PDF atractivo para supuestamente «obtener una vista previa» de la descripción del trabajo son redirigidas a otra página de inicio que muestra un mensaje de error falso en el que se indica que el navegador no es compatible y que «la página solo admite descargas en Microsoft Edge».
«Cuando el usuario hace clic en el botón Aceptar, Chrome bloquea simultáneamente la redirección», explica Aryaka. «A continuación, la página muestra otro mensaje en el que se indica al usuario que copie la URL y la abra en el navegador Edge para descargar el archivo».
Es probable que la instrucción del atacante para que la víctima utilice Edge en lugar de, por ejemplo, Google Chrome u otros navegadores web se deba al hecho de que las ventanas emergentes y los redireccionamientos creados con guiones probablemente estén bloqueados de forma predeterminada, mientras que copiar y pegar manualmente la URL en Edge permite que la cadena de infección continúe, ya que se trata como una acción iniciada por el usuario.
Sin embargo, si la víctima opta por abrir la página en Edge, la URL se lanza mediante programación en el navegador web, solo para mostrar un segundo mensaje de error: «El visor de PDF en línea está experimentando un problema actualmente. El archivo se ha comprimido y se ha enviado a su dispositivo».
Posteriormente, esto desencadena la descarga automática de un archivo ZIP que contiene la supuesta descripción del trabajo, incluido un ejecutable malintencionado («Marriott_Marketing_Job_Description.pdf.exe») que imita un PDF rellenando los espacios adicionales entre «.pdf» y «.exe».
El ejecutable es un malware de Golang denominado Vampire Bot que puede hacer un perfil del huésped infectado, robar una amplia gama de información, capturar capturas de pantalla a intervalos configurables y mantener la comunicación con un servidor controlado por un atacante («api3.samsungcareers [.] work») para ejecutar comandos o obtener cargas útiles adicionales.
Los enlaces de BatShadow con Vietnam provienen del uso de una dirección IP ( 103124,95 [.] 161 ) que anteriormente había sido marcado como utilizado por piratas informáticos con vínculos con el país. Además, profesionales del marketing digital han sido uno de los principales objetivos de los ataques perpetrados por varios vietnamita grupos con motivación financiera , que tienen un historial de uso de malware robador para secuestrar cuentas empresariales de Facebook.
En octubre de 2024, Cyble también divulgado detalles de una sofisticada campaña de ataque en varias etapas orquestada por un actor de amenazas vietnamita que atacó a personas que buscaban empleo y a profesionales del marketing digital con Quasar RAT mediante correos electrónicos de suplantación de identidad que contenían archivos de descripción de puestos con trampas explosivas.
Se evalúa que BatShadow está activo durante al menos un año, con previo campañas usando dominios similares , como samsung-work.com, para propagar familias de malware como Agent Tesla, Lumma Stealer y Venom RAT.
«El grupo de amenazas BatShadow sigue empleando sofisticadas tácticas de ingeniería social para atacar a los profesionales del marketing digital y a los solicitantes de empleo», afirma Aryaka. «Al aprovechar documentos encubiertos y una cadena de infección en varias etapas, el grupo ofrece un Vampire Bot basado en Go capaz de vigilar el sistema, filtrar datos y ejecutar tareas de forma remota».