Một nhóm tấn công mạng Việt Nam có tên BatShadow được cho là đứng sau một chiến dịch mới, sử dụng các chiến thuật kỹ thuật xã hội để lừa đảo người tìm việc và các chuyên gia tiếp thị kỹ thuật số nhằm phát tán một loại mã độc chưa từng được biết đến trước đây mang tên Vampire Bot.
"Những kẻ tấn công mạo danh nhà tuyển dụng, phân phối các tệp độc hại ngụy trang thành mô tả công việc và tài liệu công ty," các nhà nghiên cứu Aditya K Sood và Varadharajan K từ Aryaka Threat Research Labs cho biết trong một báo cáo chia sẻ với The Hacker News. "Khi được mở, các mồi nhử này sẽ kích hoạt chuỗi lây nhiễm của một mã độc dựa trên Go."
Theo công ty an ninh mạng, các chuỗi tấn công này sử dụng các tệp lưu trữ ZIP chứa tài liệu PDF mồi nhử cùng với các tệp phím tắt độc hại (LNK) hoặc tệp thực thi được ngụy trang thành PDF để lừa người dùng mở chúng. Khi được khởi chạy, tệp LNK sẽ chạy một script PowerShell nhúng, kết nối với một máy chủ bên ngoài để tải xuống một tài liệu mồi nhử, một tệp PDF về công việc marketing tại Marriott.
Script PowerShell cũng tải xuống từ cùng một máy chủ một tệp ZIP bao gồm các tệp liên quan đến XtraViewer, một phần mềm kết nối máy tính từ xa, và thực thi nó với mục đích thiết lập quyền truy cập liên tục vào các máy chủ bị xâm nhập.
Nạn nhân nào nhấp vào một liên kết trong tệp PDF mồi nhử để "xem trước" mô tả công việc sẽ bị chuyển hướng đến một trang đích khác, hiển thị thông báo lỗi giả mạo rằng trình duyệt không được hỗ trợ và "trang này chỉ hỗ trợ tải xuống trên Microsoft Edge."
"Khi người dùng nhấp vào nút OK, Chrome đồng thời chặn chuyển hướng," Aryaka cho biết. "Trang sau đó hiển thị một thông báo khác hướng dẫn người dùng sao chép URL và mở nó trong trình duyệt Edge để tải xuống tệp."
Việc kẻ tấn công hướng dẫn nạn nhân sử dụng Edge thay vì Google Chrome hoặc các trình duyệt web khác có thể là do các cửa sổ bật lên và chuyển hướng theo script thường bị chặn theo mặc định, trong khi việc sao chép và dán URL thủ công trên Edge cho phép chuỗi lây nhiễm tiếp tục, vì nó được coi là một hành động do người dùng khởi tạo.
Tuy nhiên, nếu nạn nhân chọn mở trang trong Edge, URL sẽ được khởi chạy theo chương trình trong trình duyệt web, chỉ để hiển thị thông báo lỗi thứ hai: "Trình xem PDF trực tuyến hiện đang gặp sự cố. Tệp đã được nén và gửi đến thiết bị của bạn."
Điều này sau đó kích hoạt việc tự động tải xuống một tệp lưu trữ ZIP chứa mô tả công việc được cho là thật, bao gồm một tệp thực thi độc hại ("Marriott_Marketing_Job_Description.pdf.exe") bắt chước một tệp PDF bằng cách thêm các khoảng trắng giữa ".pdf" và ".exe."
Tệp thực thi này là một mã độc Golang có tên Vampire Bot, có khả năng lấy thông tin cấu hình của máy chủ bị nhiễm, đánh cắp nhiều loại thông tin, chụp ảnh màn hình theo các khoảng thời gian có thể cấu hình, và duy trì liên lạc với máy chủ do kẻ tấn công kiểm soát ("api3.samsungcareers[.]work") để chạy các lệnh hoặc tìm nạp các payload bổ sung.
Các mối liên hệ của BatShadow với Việt Nam xuất phát từ việc sử dụng địa chỉ IP (103.124.95[.]161) từng bị gắn cờ là được sử dụng bởi các hacker có liên hệ với quốc gia này. Hơn nữa, các chuyên gia tiếp thị kỹ thuật số đã là một trong những mục tiêu chính của các cuộc tấn công do nhiều nhóm tấn công có động cơ tài chính từ Việt Nam thực hiện, những nhóm này có lịch sử triển khai các mã độc stealer để chiếm đoạt tài khoản doanh nghiệp Facebook.
Vào tháng 10 năm 2024, Cyble cũng tiết lộ chi tiết về một chiến dịch tấn công đa giai đoạn tinh vi được dàn dựng bởi một nhóm tấn công Việt Nam, nhắm mục tiêu vào người tìm việc và các chuyên gia tiếp thị kỹ thuật số bằng Quasar RAT thông qua các email lừa đảo chứa tệp mô tả công việc bị cài bẫy.
BatShadow được đánh giá là đã hoạt động ít nhất một năm, với các chiến dịch trước đây sử dụng các miền tương tự, chẳng hạn như samsung-work.com, để phát tán các họ mã độc bao gồm Agent Tesla, Lumma Stealer và Venom RAT.
"Nhóm tấn công BatShadow tiếp tục sử dụng các chiến thuật kỹ thuật xã hội tinh vi để nhắm mục tiêu vào người tìm việc và các chuyên gia tiếp thị kỹ thuật số," Aryaka cho biết. "Bằng cách lợi dụng các tài liệu ngụy trang và chuỗi lây nhiễm đa giai đoạn, nhóm này phân phối một mã độc Vampire Bot dựa trên Go có khả năng giám sát hệ thống, đánh cắp dữ liệu và thực thi các tác vụ từ xa."
