Um grupo de ameaças vietnamita, conhecido como BatShadow, foi identificado como responsável por uma nova campanha que utiliza táticas de social engineering para enganar profissionais de marketing digital e candidatos a emprego.
O objetivo é disseminar um malware inédito chamado Vampire Bot.
Pesquisadores do Aryaka Threat Research Labs, Aditya K Sood e Varadharajan K, explicam em relatório compartilhado com o The Hacker News que os atacantes se passam por recrutadores, distribuindo arquivos maliciosos disfarçados de descrições de vagas e documentos corporativos.
Ao serem abertos, esses arquivos disparam a cadeia de infecção do malware desenvolvido em Go.
A campanha, conforme detalhada pela empresa de cibersegurança, utiliza arquivos ZIP que contêm documentos PDF falsos, juntamente com arquivos do tipo shortcut (LNK) ou executáveis mascarados como PDFs para enganar os usuários.
Ao abrir o arquivo LNK, um script PowerShell embutido é executado, conectando-se a um servidor externo para baixar o documento isca — a descrição de uma vaga de marketing na Marriott.
Além disso, o script PowerShell baixa, do mesmo servidor, um arquivo ZIP com arquivos relacionados ao XtraViewer, um software de conexão remota, provavelmente utilizado para garantir acesso persistente aos sistemas comprometidos.
As vítimas que clicam no link dentro do PDF falso, supostamente para "visualizar" a vaga, são redirecionadas para uma página que exibe uma mensagem de erro falsa, informando que o navegador não é suportado e que “a página só permite downloads no Microsoft Edge”.
Quando o usuário clica em OK, o Chrome bloqueia o redirecionamento, e a página instrui o usuário a copiar a URL e abrir no Edge para baixar o arquivo.
Essa insistência em direcionar a vítima para o Microsoft Edge provavelmente ocorre porque pop-ups e redirecionamentos automáticos são bloqueados por padrão em outros navegadores, enquanto o ato manual de copiar e colar a URL no Edge é tratado como uma ação do usuário, permitindo que a cadeia de infecção prossiga.
Caso a vítima siga a orientação e abra a página no Edge, a URL é aberta automaticamente, exibindo uma segunda mensagem de erro falsa: “O visualizador de PDF online está apresentando problemas.
O arquivo foi compactado e enviado para seu dispositivo.” Isso aciona o download automático de um arquivo ZIP contendo a falsa descrição da vaga, que inclui um executável malicioso chamado “Marriott_Marketing_Job_Description.pdf.exe”, que tenta se passar por um PDF inserindo espaços extras entre “.pdf” e “.exe”.
O malware, chamado Vampire Bot, é escrito em Golang e possui funcionalidades para coletar informações do sistema infectado, roubar diversos dados, capturar capturas de tela em intervalos configuráveis e manter comunicação com um servidor controlado pelos invasores (“api3[.]samsungcareers[.]work”) para receber comandos remotos ou baixar payloads adicionais.
A conexão do BatShadow ao Vietnã é evidenciada pelo uso de um endereço IP (103[.]124.95[.]161) previamente identificado em ataques vinculados ao país.
Além disso, profissionais de marketing digital têm sido alvos frequentes de grupos vietnamitas com motivação financeira, que historicamente usam malwares do tipo stealer para sequestrar contas empresariais do Facebook.
Em outubro de 2024, a empresa Cyble também revelou detalhes de uma campanha sofisticada em múltiplas etapas, conduzida por outro grupo vietnamita, que usou phishing com arquivos de descrições de vagas infectados para distribuir o Quasar RAT contra profissionais de marketing digital e candidatos a emprego.
O BatShadow está ativo há pelo menos um ano, com campanhas anteriores empregando domínios similares, como samsung-work.com, para propagar famílias de malware como Agent Tesla, Lumma Stealer e Venom RAT.
Segundo a Aryaka, “o grupo BatShadow continua a utilizar táticas avançadas de social engineering para atacar profissionais de marketing digital e pessoas em busca de emprego.
Por meio de documentos disfarçados e uma cadeia de infecção em múltiplas etapas, o grupo distribui o Vampire Bot em Go, capaz de monitorar sistemas, exfiltrar dados e executar tarefas remotamente.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...